Monitoring serveru s mobilom Siemens

Po prečítaní článku o mobilných telefónoch Siemens v linuxe na českom serveri linuxsoft.cz som sa rozhodol, že pripojím mobil k jednému mnou spravovanému firewallovému systému a ten mi bude sms správami ohlasovať napríklad nedovolené prístupy k vybraným službám. Pripojenie som bol nútený realizovať cez sériový port, keďže na spomínanom serveri som zaviedol minimalistický “custom kernel” a myslím si, že podpora USB alebo nebodaj bluetooth by tam bola zbytočným prežitkom.

1. Hardware

Kolega mi požičal svoj staručký Siemens A35, ktorý sa však cez požičaný kábel a SCMxx nikdy neozval. Preto som zháňal ďalej a nakoniec ma správnym modelom – Siemens S45i – obdaril môj starší brat. S mobilom v ruke som sa vybral kúpiť sériový kábel. V prvom mobil shope ma predavač presviedčal, že také niečo sa už nevyrába, v ďalšom ho aspoň hľadal v katalógu. Samozrejme neúspešne. Ale nevzdal som sa a po nejakej tej hodinke behania po meste som ho predsa len kúpil.

2. Úprava kábla

Problém, ktorý treba pri neustálom pripojení telefónu značky Siemens k počítaču vyriešiť je jeho napájanie, pretože tieto telefóny používajú jediný konektor pre napájanie aj pre dátové prenosy. Preto bolo nutné rozobrať koncovku na dátovom kábli i na nabíjačke a integrovať ich do jednej. Je to síce veľmi jednoduchý zásah, no napriek tomu som to radšej zveril odborníkovi, ktorý bol vybavený mikrospájkou. Vykonaná operácia je znázornená na obrázku:

Upravený konektor pre mobilný telefón

3. Príprava systému

Samozrejme treba správne nakonfigurovať sériový port. Na distribúcii Slackware stačí v /etc/serial.conf zrušiť komentár na riadku prislúchajúcemu /dev/ttyS0 a skontrolovať, či sa pri štarte spúšťa inicializačný skript /etc/rc.d/rc.serial. Pre samotnú komunikáciu s telefónom som použil na linuxsoft.cz opisovaný program SCMxx od nemeckého autora Hendrika Sattlera, ktorý je určený pre shell a teda ľahko použiteľný v skriptoch.

4. Oznamovanie nedovoleného prístupu

Celá filozofia oznamovania nedovoleného prístupu sa zakladá na použití TCP wrappers, ktoré slúžia na kontrolovanie a obmedzovanie prístupu k sieťovým službám skompilovaným s ich podporou. TCP wrappers sa konfigurujú v súboroch /etc/hosts.allow a /etc/hosts.deny. Ja som použil démona sshd, ktorý umožňuje zakompilovať ich podporu.

V súbore /etc/hosts.allow som teda uviedol zoznam IP adries, ktoré majú k sshd prístup

sshd: 10.1.1.2 10.1.1.3

a do súboru /etc/hosts.deny som zapísal nasledujúci “kúzelný riadok” :)

ALL : ALL : spawn (scmxx --device=/dev/ttyS0 --send --sms --direct --text="Pokus o pripojenie na sluzbu %d z IP adresy %a" –number="0908xyzxyz") & : DENY

Ak sa niekto pokúsi pripojiť na ssh démona je jeho IP adresa najskôr porovnaná s údajmi v súbore hosts.allow. Ak sa zhoduje, prístup je umožnený. Ak sa nenájde zhoda, pokračuje sa v hosts.deny, kde je uvedená pre všetky služby a všetky hosty jediná akcia – poslať sms správu administrátorovi a odmietnuť prístup. Reťazce %d a %a pritom nahradia TCP wrappers konkrétnymi údajmi. Samozrejme, aby mala takáto funkcia význam, musí konfigurácia firewallu umožňovať prístup k portu 22/TCP.

5. Záver

Toto je len malá ukážka možností, ktoré poskytuje mobilný telefón pripojený k linuxovému serveru a taktiež iba zlomok toho, čo sa dá docieliť správnou konfiguráciou TCP wrappers. Čo by ste povedali na wrappermi riadené pravidlá firewallu, na vzdialené ovládanie servera sms správami, oznamovanie o výpadkoch linky alebo informovanie o vyťažení systému..

Špeciálne poďakovanie si zaslúži môj brat Stano a Andrej Eliáš, bez ktorých by tento článok nevznikol.

Komentáre k článku:

  1. ZOSFOV - 30.10.2005 2005 09:31:14

    da sa to spravit aj inak…minimalne ovladat stroj z mobilu sa da velmi lahko mmskami, ktore su omnoho lacnejsie oproti sms ak porovnas pocet znakov ktore mozes odoslat a mms mozes poslat na viac cisiel i mailov zaroven. a je otazka par riadkov a elegantneho nastavenia rules na forwarodovanie posty do kratkeho skriptiku , ktory vyparsuje commandy… so spatnou vazbou je to uz horsie, myslim ze orange ma nejake platene sluzby ako odoslat cez comp mms/sms ale nikdy som sa o to nezaujimal , kazdopadne to stoji za namahu nieco prebrowsit. nejaky 3rd party provider co dokaze maily odoslat na mobil by sa tiez nasiel… a uplne najlepsie riesenie …ak uz chceme byt informovani vzdy a vsade mat nejaky ten lepsi telefonik s gprs , pripadne mda a mozeme sa rovno dostat k mailom a na shell.

  2. Jaroslav Imrich - 30.10.2005 2005 14:03:39

    O platene sluzby co spominas som sa zaujimal, volal som na helpdesk orange aj t-mobile a bol som dokonca aj na predajniach.. Vzdy na mna pozerali s otvorenymi ustami ze co to po nich chcem :)

  3. zosvof - 30.10.2005 2005 17:35:15

    ale minimalne nejake mailove sluzby orange ponuka tusim, skusim sa na to pozriet vecer, pretoze ma vcelku dost chytila myslienka mat mobilny monitoring masiny stale dosiahnutelny, kedze sa chystam jeden stroj dat do dost “nebezpecneho” prostredia..este uvazujem tu v BA sa dohodnut najlepsie s nejakou logistickou firmou ktora by mi dovolila pouzivat pager cez ich sukromnu siet, kdejake expresne zasielkove slusby ich maju haba cook a to by tiez nebolo zle riesenie.

  4. zosvof - 17.11.2005 2005 02:00:14

    skus sa pozriet na toto http://kyberia.sk/id/1985634/

  5. Jaroslav Imrich - 17.11.2005 2005 03:03:29

    Jop skvela vec, ale nechcel by som nieco na tom pisat ked je obraz zboku :) Skoda, ze sa neda pridat koment na hysterke..

Pridať komentár