Primäre Hardware- und sicherheitstechnische Anforderungen:

• ➢ 

Ein Zugriff von außerhalb des lokalen Netzwerks (also aus dem Internet) auf die IP-Cams ist untersagt, um zu verhindern, dass eine Fremdkontrolle der Kameras erfolgen kann (also unter gar keinen Umständen geöffnete Ports im DSL-Router).

• ➢ 

Den IP-Cams selber wird der Zugang zum Internet vollständig untersagt, um sicherzustellen, dass sich ein Cam-Interner proprietärer Web-Server nicht über eine Reverse-Connection als unkontrollierbare Schadsoftware im eigenen Netzwerk erweist.

• ➢ 

Eine möglicherweise vorhandene WLAN-Funktion muss deaktiviert werden können (was bautechnisch natürlich nur dann möglich ist, wenn eine Netzwerkanbindung via Patchkabel möglich ist, ansonsten ist das ein Ausschlusskriterium).

• ➢ 

Die IP-Cams bekommen keine Erlaubnis, selber Nachrichten (z.B. via Email zu versenden)

• ➢ 

Die Aufnahmen der IP-Cams dürfen das lokale Netzwerk nicht unverschlüsselt verlassen.

• ➢ 

Die IP-Cams müssen über ein Web-Interface/GUI für das Setup verfügen, welches auf beliebigen Endgeräten mit einem normal-üblichen Internet-Browser für das Customizing geöffnet werden kann (Admin-Zugang, adressiert über eine Static-Custom-IP).

• ➢ 

Die Cams müssen einen View-Mode auf beliebigen Endgeräten via normal-üblichen Internet-Browser ermöglichen (Client-Zugang).

• ➢ 

Der Cams müssen einen View-Mode von beliebigen Betriebssystemen (Windows, Linux, Android) ohne proprietäre Client-Software ermöglichen.

• ➢ 

Die IP-Cams müssen über einen integrierten Infrarot-Strahler mit automatischer Umschaltung (IR-Cut-Filter) verfügen.

• ➢ 

Die Cams müssen über 2 bis 4 skalierbare und separierbare Area-Settings verfügen und zudem Einstellungen über Sensitive-Settings ermöglichen. Area-Settings sind ausgewählte Teilbereiche im gesamten Bild-Bereich, so dass z.B. explizit eine Tür oder ein Fenster als primärer Alarm-Sektor innerhalb des Gesamt-Bildes deklariert werden können. Das heißt, nur Motion-Detects in den definierten Areas lösen die Alarm-Prozesskette aus. Sensitive-Settings verhindern, dass Regen, Schneefall, Motten, ein Spinnennetz vor dem Objektiv oder eine Katze für Daueralarm sorgt.

• ➢ 

Die Cams müssen vollständige Funktionalität auch ohne OEM-Cloud-Verpflichtung ermöglichen (z.B. bei Verwendung einer lokalen Cloud oder eigenem FTP-Server).

• ➢ 

Die Anbindung an jegliche andere kommerziell betriebene Cloud, wie z.B. Google-Drive, MS OneDrive, Dropbox, etc., wo private Daten durch Verwendung und Vermarktung die Grundlage deren Geschäftsprozesse zur Gewinnerwirtschaftung darstellen, wird als datenschutz-technische Katastrophe wegen gravierender Missachtung der digitalen Privatsphäre konsequent ausgeschlossen.

• ➢ 

Die Cams müssen einen frei einstellbaren FTP-Server verwenden können, auf dem zu speichernde Aufnahmen abgelegt werden.

• ➢ 

Die übliche DirectX- und Windows-Explorer-Abhängigkeit chinesischer Billig-IP-Cams ist ein Ausschlusskriterium für eine IP-Cam.

• ➢ 

Jegliche zusätzliche proprietäre Pflichtanbindung resp. für den Betrieb notwendige zusätzliche Client-Software ist ebenfalls ein Ausschlusskriterium.

Weitere sekundäre Anforderungen:

• ➢ 

Der spätere Betrieb muss wartungsarm und für mich weitestgehend aufwandsneutral erfolgen (ich will mich nicht ständig drum kümmern müssen).

• ➢ 

Der Zugriff auf die IP-Cams erfolgt nur LAN-Intern

• ➢ 

Sofern ein Zugriff über das Internet notwendig ist, erfolgt dieser über eine OpenVPN-Verbindung (... also trotzdem nur LAN-Intern.)

Die Cams speichern nach einem motion-detect innerhalb eines oder mehrerer vorgegebenen Areas eine Bildfolge auf einen lokalen FTP-Server. Der FTP-Server ist in einer VM auf unserem lokalen und durchgängig verfügbaren LAN-Server eingerichtet.

Aufgrund des sehr hohen Datenaufkommens mit mehreren 1000 Aufnahmen pro Tag soll die Speicherung der Bilddaten zur Entlastung der SSD nur im Hauptspeicher erfolgen. Die Freigaben für FTP und Samba zur Speicherung der Bilddaten sind in einer 1 GB-Ram-Disk eingerichtet. Alle gespeicherten Aufnahmen sind somit flüchtig und der Speicherplatz ist begrenzt. Diesem Umstand wird in TP 3 Rechnung getragen.

Die Speicherung der Bilddaten erfolgt in je einem eigenen Unterverzeichnis für jede Web-Cam.

Die Entscheidung, die jeweilige IP-Adresse der Web-Cam als Verzeichnisnamen zugrunde zu legen, ist eine willkürliche Entscheidung von mir, mit der Absicht, die Verarbeitungswege offensichtlich zu machen.

Was bedeutet das IP-Netz 10.0.1.0/24? Ganz einfach, das ist eine für meine Dokumentationen verwendete Netzwerk-Adresse. Siehe dazu auch Security und OpenVPN. Gleichbleibende Adressen vereinfachen das Verständnis über das Zusammenwirken dieser 3 Lösungen.

Ist die Benachrichtigung nicht generell deaktiviert, wird spätestens 5 Minuten nach dem Ereignis eine Benachrichtigung versendet. Hier sind es sogar 2, eine SMS, einmal via Telegram-CLI.

Bei diesem Prozessschritt handelt es sich um eine nachgeschaltete Ereigniserkennung auf Datei-Ebene. Wenn in den letzten 5 Minuten Aufnahmen angelegt wurden, ist irgendwas passiert, die Cams haben auf irgendwas reagiert.

Die Benachrichtigung kann sowohl flexibel generell aktiviert oder deaktiviert werden, als auch via Viertelstunden-Einstellungen über den Tag verteilt zeitweise aktiviert werden.

TP 3 = Backup

Der Teilprozess 3 wird täglich zu 6 festen vorgegebenen Zeiten gestartet, bei einem 24-Stunden-Tag also im 4-Stunden-Rhythmus, für die Uhrzeiten siehe Grafik. TP3 erfüllt ebenfalls 2 Aufgaben.

1. Zunächst packt er alle Bilddateien der letzten 4 Stunden in ein Tar-File-Archiv, verschlüsselt das Archiv zum Zugriffsschutz wieder mit GNUPG und versendet das Paket als redundantes 4-Stunden-Backup ebenfalls auf meinen Web-Space. Diese Backup-Pakete benötigten keine weitere Pflege oder Beachtung, ich kümmere mich gar nicht mehr darum, denn weil die Pakete gemäß ihrer Erstellungszeit immer den gleichen Namen bekommen, wird jedes Paket am nächsten Tag automatisch durch ein neues Paket mit dem gleichen Namen überschrieben. Auch hierbei ist der Hintergrund wieder einfach erklärt. Bis zum Überschreiben eines Paketes durch eine neuere Version enthält ein solches Paket einen vollständigen 4-Stunden-Datensatz.

Zum Beispiel sind darin heute um kurz vor 13:55 Uhr also noch alle Dateien des Vortages von 10:00 bis 14:00 Uhr gesichert. Das bedeutet, nach einem echten Alarm habe ich immer 24 Stunden Zeit, um die Aufnahmen entweder vor dem Löschen zu sichern oder sie kurzerhand auf meinen Reise-Laptop runter zuladen.

2. Weil der lokale Speicher nur eine ziemlich limitierte RAM-Disk ist, werden im 4-Stunden-Rhythmus einfach alle Dateien gelöscht, die älter als 12 Stunden sind. Warum aufbewahren? Wenn nichts vorgefallen ist, sind sie eh unnütz, darüber hinaus sind sie ja noch in Tar-File-Archiven auf dem Web-Space gespeichert.

TP 4 = Delete old Files

Die Aufgabe des Teilprozesses 4 ist es, den aufgelaufenen Datenmüll aufzuräumen und zu beseitigen. Und zwar ist damit gemeint, die sich auf dem Web-Space täglich rund um die Uhr anhäufenden Tar-File-Archive (die im Normalalltag zwangsläufig schon vom Vortag zu uninteressanten Alt-Daten geworden sind), dann wieder zu löschen, wenn sicher ist, dass sie nicht benötigt werden. Man sollte sich durchaus darüber im Klaren sein, dass das 7/24 laufende System mit 2-3 Web-Cams fluktuierend täglich bis zu mehreren tausend Aufnahmen speichern will und das an einem Samstag oder Sonntage mit viel familiärer Bewegungshektik schnell mal ein halbes Gigabyte an Daten zusammenkommt. Das System kann nicht unterscheiden, ob ein Familienmitglied oder eine fremde unberechtigte Person einen Motion-Detect-Alarm ausgelöst hat, also wird erst mal alles gespeichert. Das Cam-System läuft jedenfalls kontinuierlich durch, ohne Abschaltung, also erzeugt es auch kontinuierlich Daten, die sich dementsprechend unendlich vermehren würden und immer mehr und mehr und mehr Speicherplatz beanspruchen würden. Um das zu verhindern, müssen irrelevante Altdaten auch täglich und zeitnah wieder gelöscht werden.

Wie ich oben schon sagte, das Zeitfenster beträgt 24 Stunden, in der ich bei einem tatsächlichen Vorfall Zeit habe, die Daten vor dem Löschen zu sichern. Und weil ich auf Reisen sowieso täglich obligatorisch einmal nachschaue oder auch sofort, wenn ich eine Benachrichtigung vom System erhalten habe, habe ich auch immer genügend Zeit, die Dateien zu sichern. Ich muss sie nicht mal runter laden, es reicht völlig aus, sie auf dem Web-Space einfach in einen anderen Ordner zu kopieren.

Um also dieses Problem eines quasi explodierenden Speicherbedarfs zu beheben wird täglich um 01:02 Uhr ein Joblauf gestartet, der die entsprechende lokal gespeicherte Paketliste von vorgestern einliest und auf dem Web-Space alle dort eingetragenen Pakete löscht. Ganz am Ende wird natürlich dann auch die Paketliste selber gelöscht. Warum diese merkwürdige Uhrzeit 01:02 Uhr? Aus zwei technischen Überlegungen. Erfahrungsgemäß erzeugen die Cams um diese Zeit bei uns keine Daten mehr, das ist Nachtzeit und somit ja auch Schlafenszeit. Das bedeutet, der um 1 Uhr startende 5-Minuten-Alarm-Job aus TP 2 wird im Regelfall nichts zu tun haben. Dennoch sind aber bis 01:02 Uhr also noch 2 Minuten Toleranzzeit eingetragen, falls wirklich mal einer unserer familiären Schlafwandler durchs Cam-Bild tappert. In der Zeit von 01:02 bis 01:05, bevor der nächste TP-2-Job startet, besteht dann immer noch ein genügend großes Zeitfenster, um die Löschungen vorzunehmen. Wenn es sich um sehr viele Archive handelt, hier können es schon mal an einem 'belebten' Wochenende so um die 100-120 Archive sein, dauert das Löschen dann trotzdem weniger als 15 Sekunden.

Dem entgegengesetzt sind es bei unserer Abwesenheit und den deswegen fehlenden von der Familie selbst erzeugten Dateien täglich nur eine Handvoll erzeugte Archive.

Eine Stunde hat 12 * 5 Minuten, bei 24 Stunden eines Tages wären also maximal 24 * 12 = 288 Tar-File-Archive möglich. Drei Minuten Löschzeit sind also allemal ausreichend.

Speziell zu TP 4 und den anscheinend hohen Arbeitsaufwänden durch den teilweise hohen Speicherbedarf könnte man nun hinterfragen, warum das Cam-System nicht einfach nur bei Bedarf aktiviert wird und

ansonsten bei Nichtbedarf deaktiviert wird. Nun ja, zumindest das mit dem hohen Arbeitsaufwand kann ich relativieren.... ich selber kümmere mich praktisch ja gar nicht darum, wenn wir zuhause sind, das ist ein völlig autark laufender Prozess, seit etwa 2 Jahren ein absolut wartungsfreier Selbstläufer. Und wenn mein Server ein bisschen was zu tun hat, empfinde ich auch das nicht unbedingt als schlimm.

Natürlich habe ich auch eine (bzw. sogar mehrere) eigene Begründung(en) dafür, warum ich das System nicht zeitweise deaktiviere. Über die Zeitfenstereinstellungen einer speziellen Conf (wenn wir zuhause sind) bekomme ich derzeit z.B. einmal die Woche eine Funktions-Bestätigungs-Alarm-SMS und zwei- oder dreimal die Woche eine Telegram-Nachricht mit folgenden Inhalt:

"Maschinelles Lebenszeichen von Bewegungsalarm. Bitte über Telegram mit OK als Antwort bestätigen."

Daran erkenne ich, dass die beiden SMS-Systeme fehlerlos arbeiten, die Kommunikationswege 'frei' sind und infolgedessen auch der eigentliche Job aus TP2 funktioniert. Ich will nämlich nicht kurz vorher -wenn wir uns bei schönem Wetter kurzentschlossen einen Ausflug vorgenommen haben- feststellen, dass das System momentan gar nicht funktioniert. Und ich will auch nicht kurz vor dem Urlaub feststellen, dass das abgeschaltete System wegen fehlender Upgrades überaltert ist und das es nach dem Einschalten und der Aktualisierung aus welchen Gründen auch immer nicht funktioniert. Debian als Betriebssystem sowie die entsprechenden Services auf der FTP- und IP-Cam-VM wird genau so zuverlässig gewartet und aktuell gehalten, wie jedes andere installierte Debian auf allen anderen bei uns laufenden PC's. Dadurch, dass es durchgängig läuft und bei Kontrollen fehlerfrei seinen Job tut, habe ich zunächst die Gewissheit, dass es bei Problemen nicht an meiner Nachlässigkeit liegt, wenn wirklich mal Störungen passieren. Und ich erkenne Probleme relativ frühzeitig, wenn ich die Lebenszeichen-Benachrichtigungen vermisse. Und zuletzt ist es ja auch so, dass der FTP-Server für die Cams nicht auf eigener dedizierter Hardware läuft und damit z.B. eigene Energie-Kosten erzeugt, sondern in einer VM auf dem sowieso laufenden LAN-Server. Der Server läuft sowieso, der FTP-Server ist also nur ein zur Verfügung gestellter Service.

TP 5 = Logrotate

Auch der Teilprozess 5 kümmert sich wieder ums Aufräumen und der Beseitigung von Datenmüll. Hierbei geht es um die Logs, die von den 3 primären Prozessen angelegt werden: alarm.log (TP2), backup.log (TP3) und ispdelold.log (TP4).

Die Logs sind dafür da, um Fehlern auf die Schliche zu kommen, um mal eben nachzulesen, dass alles plan-gemäß funktioniert. Ältere Logs sind bei fehlenden Vorfällen schlichtweg Datenmüll.

Das Regelwerk für ein Log-Rotate ist relativ einfach und kann wegen fehlender Notwendigkeit auch nicht weiter eingestellt werden. Das aktuelle Log wird 8 Tage geführt, dann für weitere 8 Tage archiviert und schließlich einfach gelöscht.

$ su -

# dpkg -l zlib1g-dev libreadline-dev libconfig-dev lua5.2 liblua5.2-dev

# apt install zlib1g-dev libreadline-dev libconfig-dev lua5.2 liblua5.2-dev

# dpkg -l libssl-dev libpython-dev libevent-dev libjansson-dev make

# apt install libssl-dev libpython-dev libevent-dev libjansson-dev make

# dpkg -l git

# apt install git

# mkdir /home/git

# cd /home/git

# git clone --recursive https://github.com/kenorb-contrib/tg.git

git clone --recursive https://github.com/vysheng/tg.git

# cd /home/git/tg

# ./configure

# make

# cd /home/git/tg/tgl

# ./configure

# make

# mkdir -p /tmp/telegram/root/opt/telegram

# mkdir -p /tmp/telegram/root/DEBIAN

# mkdir -p /tmp/telegram/root/usr/local/share/man/man8

# mkdir -p /tmp/telegram/root/usr/local/bin

# ne /tmp/telegram/root/DEBIAN/control

Package: telegramcli

Version: 1.0.0

Section: misc

Priority: extra

Architecture: amd64

Depends:

Installed-Size: 22 mb

Maintainer: toml <toml@thlu.de>

Homepage: www.thlu.de

Description: telegram-cli

# cp /home/git/tg/bin/telegram-cli /tmp/telegram/root/opt/telegram

# cp /home/git/tg/bin/tl-parser /tmp/telegram/root/opt/telegram

# cp /home/git/tg/tgl/libs/libtgl.so /tmp/telegram/root/opt/telegram

# cd /tmp/telegram/root/opt/telegram

# ./telegram-cli -h >/tmp/telegram/root/usr/local/share/man/man8/telegram-cli.8

# cd /tmp/telegram/root/usr/local/bin

# ln -s ../../../opt/telegram/telegram-cli telegram-cli

# cd /tmp/telegram

# dpkg -b /tmp/telegram/root telegram-cli_buster_amd64.deb

# cp telegram-cli_buster_amd64.deb /home/thomas

# scp "telegram-cli_buster_amd64.deb" thomas@10.0.1.42:/home/thomas

oder

# scp -P 55551 "telegram-cli_buster_amd64.deb" thomas@10.0.1.42:/home/thomas

# systemctl poweroff

System

1. mein eigener PC

2. temporäre systemd-nspawn-VM in /tmp

3. der Cam-FTP-Server via SSH

# dpkg -l proftpd-basic ftp

dpkg-query: Kein Paket gefunden, das auf proftpd-basic passt

dpkg-query: Kein Paket gefunden, das auf ftp passt

# apt install proftpd-basic ftp

# dpkg -l proftpd-basic ftp

::::

||/ Name                  Version         Architektur      Beschreibung

+++-=====================================================================================================

ii  ftp                   0.17-34         amd64            classical file transfer client

ii  proftpd-basic         1.3.5b-4        amd64            Versatile, virtual-hosting FTP daemon - binaries

Die folgenden Pakete sind außerdem notwendig, wenn Benachrichtigungen via SMS gesendet werden sollen. Aber Achtung, dafür ist zusätzliche Hardware notwendig. Ich verwende für das Versenden von SMS-Benachrichtigungen einen Surfstick, und zwar einen Huawei E173 (HSDPA/UMTS, GSM/GPRS/EDGE, USB 2.0).

Ich bitte darum, dass jetzt hier nicht als Werbung für diesen UMTS-Stick zu verstehen, dieses Interesse habe ich nicht. Ich habe mich für diesen Stick entschieden, weil ich irgendwo bei den Bewertungen gelesen habe, dass er mit Linux funktioniert und weil er schlichtweg billig war. Ich vermute, dass es die Surf-Sticks anderer Hersteller gleichermaßen tun.

# dpkg -l smstools usb-modeswitch

dpkg-query: Kein Paket gefunden, das auf smstools passt

dpkg-query: Kein Paket gefunden, das auf usb-modeswitch passt

# apt install smstools usb-modeswitch usb-modeswitch-data

# dpkg -l smstools usb-modeswitch*

::::

||/ Name                  Version         Architektur  Beschreibung

+++-=====================================================================================================

ii  smstools              3.1.21-3        amd64        SMS server tools for GSM modems

ii  usb-modeswitch        2.5.2+repack0-2 amd64        mode switching tool for controlling "flip flop" USB devices

ii  usb-modeswitch-data   20170806-2      all          mode switching data for usb-modeswitch

# dpkg -l samba

dpkg-query: Kein Paket gefunden, das auf samba passt

# apt install samba

# cd /home/thomas

# dpkg -i telegram-cli_buster_amd64.deb

# dpkg -l telegramcli

::::

||/ Name           Version      Architektur  Beschreibung

+++-==============-============-============-=================================

ii  telegramcli    1.0.0        amd64        telegram-cli

# ls /opt/telegram

insgesamt 26M

drwxr-xr-x 2 root root 4,0K 2019-05-05 10:15 .

drwxr-xr-x 3 root root 4,0K 2019-05-05 11:26 ..

-rwxr-xr-x 1 root root  15M 2019-05-05 10:15 libtgl.so

-rwxr-xr-x 1 root root  11M 2019-05-05 10:14 telegram-cli

-rwxr-xr-x 1 root root 268K 2019-05-05 10:14 tl-parser

Um die folgenden Dateien müssen wir uns nun zuerst kümmern bzw. diese aus dem Tar-File heraus ins jeweilige Zielverzeichnis kopieren. Die Tabelle soll einen kurzen Überblick verschaffen, welche Aufgabe die einzelnen Dateien erfüllen. Nach dem Kopieren bitte die Rechte gemäß dieser Tabelle korrigieren:

Speicherort

Name

Rechte

serverctl.service

netfilter.service

setup-proftpd.service

setup-smstools.service

setup-telegramd.service

send-startup-msg.service

backup-ftp-dirs@.service

media-FTP.mount

/usr/local/bin/

serverctl

netfilter

cam-event-ctl

cam-event-ctl.conf

Name

root

thomas

proftpd

ftpd

toml

smsd

telegramd

IPCamSrv

tom alarm

silvia alarm

manuel alarm

Hinweis zu den von mir verwendeten Namen Tom, Silvia und Manuel: Es sind zwar fiktive Namen, aber immer gleichbleibend, die ich auch schon in den anderen Dokumentationen verwendet habe, um auch im Überblick über alles die Zusammenhänge einfacher nachvollziehen und verstehen zu können. Im Grunde genommen ist alles zusammen ein einziges großes privates IT-Projekt, von dem natürlich auch alle Familienmitglieder betroffen sind, egal ob es sich um den Mailserver handelt, oder die Security-Settings, oder der externe Zugang via OpenVPN.

FTP-Server

Nach dem nun alle Dateien in das jeweilige Zielverzeichnis kopiert wurden, geht es weiter mit der Einrichtung des FTP-Servers. Weil dieser FT-Server ja kein öffentlicher Server ist und lediglich in einer isolierten VM nur als Ziel für die IP-Cams eingerichtet wird, ist es mit der Userverwaltung auch sehr einfach. Der User ftpd wird als einziger ftp-User angelegt, die IP-Cams verwenden diesen Anmeldenamen und das Password, um sich auf dem FTP-Server anzumelden.

# adduser -shell /bin/false ftpd

# ls -lah /home/ftpd

insgesamt 20K

drwxr-xr-x 2 ftpd ftpd 4,0K 2019-05-05 14:21 .

drwxr-xr-x 4 root root 4,0K 2019-05-05 14:21 ..

-rw-r--r-- 1 ftpd ftpd  220 2019-05-05 14:21 .bash_logout

-rw-r--r-- 1 ftpd ftpd 3,5K 2019-05-05 14:21 .bashrc

-rw-r--r-- 1 ftpd ftpd  807 2019-05-05 14:21 .profile

find /home/ftpd -type f -exec rm '{}' \;

# mkdir /media/FTP

# ls -lah /media | grep FTP

drwxr-xr-x  3 root root 4,0K 2019-05-05 15:48 FTP

cp /etc/proftpd/proftpd.conf /etc/proftpd/proftpd.conf.org

ne /etc/proftpd/proftpd.conf

UseIPv6 off

(aktivieren)

DefaultRoot /media/FTP

(einfügen)

<Limit LOGIN>

    DenyGroup !ftpd

</Limit>

(Block einfügen)

RequireValidShell off

(aktivieren)

# ne /etc/hosts

# cat /etc/hosts

127.0.0.1 localhost

127.0.1.1 ftps

# hostnamectl set-hostname ftps

# cat /etc/hostname

ftps

# find /etc -iname "*proftpd" | sort -bg

/etc/init.d/proftpd

/etc/rc0.d/K01proftpd

/etc/rc1.d/K01proftpd

/etc/rc2.d/S01proftpd

/etc/rc3.d/S01proftpd

/etc/rc4.d/S01proftpd

/etc/rc5.d/S01proftpd

/etc/rc6.d/K01proftpd

# systemctl status proftpd.service

# systemctl stop proftpd.service

# systemctl disable proftpd.service

# systemctl status proftpd.service

# update-rc.d proftpd remove

# find /etc -iname "*proftpd" | sort -bg

/etc/init.d/proftpd

# systemctl reboot

# systemctl status serverctl.service setup-proftpd.service backup-ftp-dirs@ftpd.service media-FTP.mount

● serverctl.service - thlu:serverctl.service:   Waiting for Network or Server to be up

   Loaded: loaded (/etc/systemd/system/serverctl.service; disabled; vendor preset: enabled)

   Active: inactive (dead)

● setup-proftpd.service - thlu:setup-proftpd.service:   Starts ProFTPD daemon

   Loaded: loaded (/etc/init.d/proftpd; disabled; vendor preset: enabled)

   Active: inactive (dead)

● backup-ftp-dirs@ftpd.service - thlu:backup-ftp-dirs.service  Backup + Restore tmpfs->/media/FTP to /home/ftpd/FTP

   Loaded: loaded (/etc/systemd/system/backup-ftp-dirs@ftpd.service; disabled; vendor preset: enabled)

   Active: inactive (dead)

● media-FTP.mount - thlu: Mount Local /tmp to tmpfs

   Loaded: loaded (/etc/systemd/system/media-FTP.mount; disabled; vendor preset: enabled)

   Active: inactive (dead)

    Where: /media/FTP

     What: tmpfs

# ne /etc/systemd/system/media-FTP.mount

[Unit]

Description=thlu: Mount Local /tmp to tmpfs

DefaultDependencies=no

Conflicts=umount.target

Before=local-fs.target umount.target

[Mount]

What=tmpfs

Where=/media/FTP

Options=mode=777,strictatime

Type=tmpfs

[Install]

WantedBy=local-fs.target

# systemctl start media-FTP.mount

# df

Dateisystem  Typ    Größe Benutzt Verf. Verw%  Eingehängt auf

tmpfs        tmpfs  1003M    0M   1003M    0%  /media/FTP

# systemctl enable media-FTP.mount

# cd /media/FTP

# mkdir 10_0_1_20

# mkdir 10_0_1_21

# mkdir 10_0_1_22

# chown ftpd:root /media/FTP/*

# chmod 770 /media/FTP/*

Mit dem nächsten Schritt starten wir nun den FTP-Server manuell und prüfen unmittelbar darauf den Service-Status auf Fehler. Sofern keine (!) Fehler berichtet werden, kann der Service nun mit dem letzten Befehl auch für den Systemstart aktiviert werden. Die Start des Services erfolgt selbstverständlich über eine eigene Service-Unit:

/etc/systemd/system/setup-proftpd.service

Die Rechte-Einstellung für die Unit: root:root 644

[Unit]

Description=thlu:setup-proftpd.service:   Starts ProFTPD daemon

SourcePath=/etc/init.d/proftpd

After=remote-fs.target nss-lookup.target serverctl.service

Requires=serverctl.service

[Service]

Type=forking

Restart=no

TimeoutSec=5min

IgnoreSIGPIPE=no

KillMode=process

GuessMainPID=no

RemainAfterExit=yes

SuccessExitStatus=5 6

ExecStart=/etc/init.d/proftpd start

ExecStop=/etc/init.d/proftpd stop

ExecReload=/etc/init.d/proftpd reload

[Install]

WantedBy=multi-user.target

# ne /etc/systemd/system/serverctl.service

ExecStartPre=/usr/local/bin/serverctl 10.0.1.1

# dpkg -l rsync

# apt install rsync

Bei Verwendung von tmpfs über media-FTP.mount muss das Paket rsync installiert sein.

# systemctl start backup-ftp-dirs@ftpd.service

# systemctl stop backup-ftp-dirs@ftpd.service

# ls /home/ftpd/FTP

drwxrwx--- 2 ftpd root 4,0K 2019-08-13 15:05 10_0_1_20

drwxrwx--- 2 ftpd root 4,0K 2019-08-13 15:05 10_0_1_21

drwxrwx--- 2 ftpd root 4,0K 2019-08-13 15:05 10_0_1_22

# systemctl start backup-ftp-dirs@ftpd.service

# systemctl start setup-proftpd.service

# systemctl status serverctl.service setup-proftpd.service

● serverctl.service - thlu:serverctl.service:   Waiting for Network or Server to be up

   Loaded: loaded (/etc/systemd/system/serverctl.service; disabled; vendor preset: enabled)

   Active: active (exited) since Sun 2019-05-05 14:37:57 CEST; 1h 4min ago

   Main PID: 443 (code=exited, status=0/SUCCESS)

   Tasks: 0 (limit: 4493)

   Memory: 0B

   CGroup: /system.slice/serverctl.service

Mai 05 14:37:57 ftps systemd[1]: Starting thlu:serverctl.service:   Waiting for Network or Server to be up...

Mai 05 14:37:57 ftps thlu:serverctl[441]: Successful terminated with exitcode=0

Mai 05 14:37:57 ftps systemd[1]: Started thlu:serverctl.service:   Waiting for Network or Server to be up.

● proftpd.service - thlu:proftpd.service:   Starts ProFTPD daemon

   Loaded: loaded (/etc/init.d/proftpd; static; vendor preset: enabled)

   Active: active (running) since Sun 2019-05-05 14:37:58 CEST; 4s ago

   Process: 445 ExecStart=/etc/init.d/proftpd start (code=exited, status=0/SUCCESS)

   Tasks: 1 (limit: 4493)

   Memory: 10.6M

   CGroup: /system.slice/proftpd.service

           └─454 proftpd: (accepting connections)

Mai 05 14:37:57 ftps systemd[1]: Starting thlu:proftpd.service:   Starts ProFTPD daemon...

Mai 05 14:37:57 ftps proftpd[445]: Starting ftp server: proftpd ...ftps proftpd[453]: processing config. dir... '/etc/proftpd/conf.d/'

Mai 05 14:37:58 ftps proftpd[445]: .

Mai 05 14:37:58 ftps systemd[1]: Started thlu:proftpd.service:   Starts ProFTPD daemon

# cd /etc/systemd/system

# systemctl enable setup-proftpd.service

# systemctl enable serverctl.service

# systemctl enable backup-ftp-dirs@ftpd.service

# systemctl reboot

Der nächste einzurichtende Service ist die SMS-Benachrichtigung via Surf-Stick. An die Reihenfolge beim Einrichten der Dienste <SMS-Tools vor Telegramd> sollte wir uns unbedingt halten. Bei der anschließend folgenden Einrichtung von Telegram kann es nämlich sein, dass eine SMS mit einem Freischalt-Code gesendet wird. Und dann sollte der Surf-Stick natürlich auch soweit in Betrieb genommen sein, dass er die SMS überhaupt annehmen kann.

# systemctl status smstools.service

●  smstools.service - LSB: starts smstools

     Loaded: loaded (/etc/init.d/smstools; generated)

     Active: active (running) since Sat 2019-05-25 11:08....53min ago

     Docs: man:systemd-sysv-generator(8)

     Process: 330 ExecStart=/etc/init.d/smstools start ....SUCCESS)

  Mai 25 11:08:28 ftps smstools[330]: Starting SMS Daemon: smsd.

# find /etc -iname "*smstools" | sort -bg

/etc/init.d/smstools

/etc/rc0.d/K01smstools

/etc/rc1.d/K01smstools

/etc/rc2.d/S01smstools

/etc/rc3.d/S01smstools

/etc/rc4.d/S01smstools

/etc/rc5.d/S01smstools

/etc/rc6.d/K01smstools

# systemctl stop smstools.service

# systemctl disable smstools.service

# systemctl status smstools.service

# update-rc.d smstools remove

# find /etc -iname "*smstools" | sort -bg

/etc/init.d/smstools

# cp /etc/smsd.conf /etc/smsd.conf.org

# ne /etc/smsd.conf

delaytime = 30

#[GSM1]

##init =

#device = /dev/ttyS0

#incoming = yes

##pin =

#baudrate = 19200

[GSM1]

init = AT^CURC=0

device = /dev/ttyUSB0

incoming = yes

baudrate = 115200

Und genau das ist möglicherweise noch ein großes Problem.... und zwar die Frage: Wie wird der Surfstick überhaupt vom Kernel erkannt? Mit lsusb (List USB-Devices) lassen wir uns also gleich anzeigen, wie unser Surfstick erkannt wird.

Ich möchte speziell wegen dieser Problematik noch einmal auf einen wichtigen Umstand hinweisen: Die hier folgenden Angaben beziehen sich auf meinen Surfstick. Das bedeutet, wenn der eigene Surfstick nicht als Modem erkannt wird und Maßnahmen zur Umstellung erforderlich sind, so können die Befehle hier bei einem anderen Modell möglicherweise erfolgreich sein, aber ebenso wahrscheinlich auch vielleicht gar keine Auswirkung haben oder schlimmstenfalls sogar Fehler verursachen. Das bedeutet weiterhin, dass man die folgenden Beispielbefehle zur Umstellung des Sticks nicht einfach ungeprüft kopieren und anwenden darf... Nein! Stop!... wenn es sich um ein anderes Modell handelt und die Variante 1 mit angepasster VendorID:ProductID nicht funktioniert, musst Du im Internet nach einer passenden Lösung für Deinen Surfstick suchen. Ein leichtfertiger Versuch mit dem zum eigenen Modell nicht abgesicherten Befehl aus Variante 2 erfolgt auf eigenes Risiko!

Und ich wiederhole auch noch einmal meinen Hinweis von oben, ich mache hier keine Werbung für Huawei oder für meinen speziellen Surfstick, das ist einfach nur das Modell, welches mir jetzt hier zur Verfügung steht und mit dem ich Erfahrungen sammeln konnte. Die folgenden Customizing-Befehle sind die, die genau für meinen Stick passen. Deshalb erfordert jedes andere Modell Sorgfalt und ggf. sogar eigene Recherche im Internet, um korrekte Angaben für den Modeswitch zu ermitteln.

Eigentlich (und auch nach meinem Verständnis) sollte es so sein, dass Surfsticks quasi out-of-the-box funktionieren, und zwar ohne manuell eingreifen zu müssen. Dafür verantwortlich wäre das zuvor installierte Paket usb-modeswitch-data, welches den Stick mithilfe einer UDEV-Regel automatisch auf Modem-Funktionalität umstellt. Das ist aber bei meinem Stick leider nicht erfolgt. Aus Neugier habe ich dann mal die im Paket enthaltenen Regeln mit Angabe der Vendor-ID durchsucht, konnte dann aber weitergehend die passende Product-ID meines Sticks nicht finden. Das war wohl der Grund, warum er nicht umgestellt wurde.... mein Stick unterstützt diese Funktion nicht.

# lsusb

Bus 001 Device 007: ID 12d1:14c9 Huawei Techn.....(3G Modem)

Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

# lsusb

Bus 001 Device 006: ID 12d1:14d1 Huawei Techn..... (Mass storage mode)

Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

Variante 1:

# usb_modeswitch -J -v 0x12d1 -p 0x14d1

Variante 2:

# usb_modeswitch -v 12d1 -p 14d1 -M '55534243123456780000000000000011062000000100000000000000000000'

Variante 3:

# cat /etc/usb_modeswitch.d/huawei

TargetVendor= 12d1

TargetProductList="14d1"

MessageContent="55534243123456780000000000000011062000000100000000000000000000"

MessageContent1="5553424312345678000000000000061e000000000000000000000000000000"

MessageContent2="5553424312345679000000000000061b000000020000000000000000000000"

NeedResponse=1

# usb_modeswitch -v 12d1 -p 14d1 -c /etc/usb_modeswitch.d/huawei

Nun ist der Zeitpunkt gekommen, den SMS-Service mit der neuen Service-Unit in Betrieb zu nehmen und die Funktion zu testen. Wir starten die Service-Unit und kontrollieren anschließend sofort den Status auf Fehler. Sofern kein Fehler berichtet wird, senden wir an unser Smartphone eine Testnachricht. Wird die SMS versendet und zugestellt, senden wir eine Antwort SMS, die ein paar Sekunden später im Zielverzeichnis des SMS-Services geöffnet werden kann:

/etc/systemd/system/setup-smstools.service

Die Rechte-Einstellung für die Unit: root:root 644

[Unit]

Description=thlu:setup-smstools.service:  Starts smstools-Daemon

SourcePath=/etc/init.d/smstools

Before=multi-user.target

Before=graphical.target

After=remote-fs.target

[Service]

Type=forking

Restart=no

TimeoutSec=5min

IgnoreSIGPIPE=no

KillMode=process

GuessMainPID=no

RemainAfterExit=yes

SuccessExitStatus=5 6

ExecStartPre=/bin/mkdir -p /var/log/smstools/smsd_stats

ExecStartPre=/bin/chown -R smsd:smsd /var/log/smstools

ExecStart=/etc/init.d/smstools start

ExecStop=/etc/init.d/smstools stop

[Install]

WantedBy=multi-user.target

# systemctl start setup-smstools.service

# systemctl status setup-smstools.service

  ● setup-smstools.service - thlu:smstools.service:  Starts smstools-Daemon

     Loaded: loaded (/etc/init.d/smstools; disabled; vendor preset: enabled)

     Active: active (running) since Sat 2019-05-25 12:10:10 CEST; 10s ago

     Process: 873 ExecStartPre=/bin/mkdir -p /var/log/smstools/smsd_stats (code=exited, status=0/SUCCESS)

     Process: 874 ExecStartPre=/bin/chown -R smsd:smsd /var/log/smstools (code=exited, status=0/SUCCESS)

     Process: 875 ExecStart=/etc/init.d/smstools start (code=exited, status=0/SUCCESS)

echo -e "To: 00491710000001\n\nTestnachricht vom $(date +%d.%m.%Y_%H:%M:%S)\n" >/var/spool/sms/outgoing/smsout_$(date +%Y%m%d_%H%M%S)

# ls /var/spool/sms/sent

insgesamt 12K

drwxrwsr-t 2 smsd smsd 4,0K 2019-05-26 14:56 .

drwxrwsr-t 7 smsd smsd 4,0K 2019-05-05 11:24 ..

-rw-r--r-- 1 smsd smsd  154 2019-05-26 14:56 smsout_20190526_145532

# cat /var/spool/sms/sent/smsout_20190526_145532

To:  00491710000001

Modem: GSM1

Sent: 19-05-26 14:56:03

Sending_time: 2

IMSI: 200000000000000

IMEI: 800000000000000

  Testnachricht vom 26.05.2019_14:55:32

# ls /var/spool/sms/incoming

insgesamt 12K

drwxrwsr-t 2 smsd smsd 4,0K 2019-05-26 15:22 .

drwxrwsr-t 7 smsd smsd 4,0K 2019-05-05 11:24 ..

-rw-r--r-- 1 smsd smsd  267 2019-05-26 15:20 GSM1.8X0mc2

# cat /var/spool/sms/incoming/GSM1.8X0mc2

From: 491710000001

From_TOA: 91 international, ISDN/telephone

From_SMSC: 490000000000

Sent: 19-05-26 15:20:06

Received: 19-05-26 15:20:51

Subject: GSM1

Modem: GSM1

IMSI: 200000000000000

IMEI: 800000000000000

Report: no

Alphabet: ISO

Length: 22

Hier ist die Antwort-SMS!

# systemctl enable setup-smstools.service

# systemctl reboot

# journalctl -b -p err

# systemctl status setup-smstools.service

# echo -e "To: 00491710000001\n\nTestnachricht ....."

# dpkg -l libjansson4 libconfig9 liblua5.2-0

# apt install libjansson4 libconfig9 liblua5.2-0

# adduser telegramd

# su telegramd

$ telegram-cli -k tg-server.pub

Telegram-cli version 1.4.1, Copyright (C) 2013-2015 Vitaly Valtman

Telegram-cli comes with ABS...WARRANTY; for details type `show_license'.

This is free software, and you are welcome to redistribute it

under certain conditions; type `show_license' for details.

Telegram-cli uses libtgl version 2.1.0

Telegram-cli includes software developed by the OpenSSL Project

for use in the OpenSSL Toolkit. (http://www.openssl.org/)

I: config dir=[/home/telegramd/.telegram-cli]

phone number: +491780005555

code ('CALL' for phone code): 12345

User IPCamSrv online (was online [2019/05/17 18:20:54])

> add_contact +491710000001 tom alarm

tom alarm

> add_contact +491720000022 silvia alarm

silvia alarm

> add_contact +491730000333 manuel alarm

manuel alarm

> msg tom_alarm "hey, kommt die nachricht an? bitte anworten!"

[18:17] tom alarm <hey, kommt die nachricht an? bitte anworten!

User tom alarm online (was online [2019/05/29 11:12:50])

User tom alarm marked read 1 outbox and 0 inbox messages

User tom alarm is typing

[11:08] tom alarm >>> Jau, is da :-)

> help

> contact_list

silvia alarm

tom alarm

manuel alarm

> dialog_list

User manuel alarm: 10 unread

User silvia alarm: 5 unread

User Telegram: 1 unread

User tom alarm: 69 unread

> mark_read tom_alarm

> del_contact tom_alarm

> quit

$ telegram-cli --help

$ telegram-cli -k tg-server.pub -W -e "msg tom_alarm Zweite Testnachricht vom $(date +%d.%m.%Y_%H:%M:%S)"

Telegram-cli version 1.4.1, Copyright (C) 2013-2015

Telegram-cli comes with ABSOLUTELY NO WARRANTY; for details type `show_license'.

This is free software, and you are welcome to redistribute it

under certain conditions; type `show_license' for details.

Telegram-cli uses libtgl version 2.1.0

Telegram-cli includes software developed by the OpenSSL Project

for use in the OpenSSL Toolkit. (http://www.openssl.org/)

I: config dir=[/home/telegramd/.telegram-cli]

[11:40] tom alarm <<< Testnachricht vom 29.05.2019_11:40:06

> All done. Exit

halt

$ _

oder ohne Ausgaben (stdout):

$ telegram-cli -k tg-server.pub -W -e "msg tom_alarm Dritte Testnachricht vom $(date +%d.%m.%Y_%H:%M:%S)" >/dev/null 2>&1

/etc/systemd/system/setup-telegramd.service

Die Rechte-Einstellung für die Unit: root:root 644

[Unit]

Description=thlu:setup-telegramd.service     Start Telegram-Interface as service

After=serverctl.service

Requires=serverctl.service

[Service]

Type=simple

RemainAfterExit=yes

ExecStart=/opt/telegram/telegram-cli -d -P 55555 -L /home/telegramd/tg.log -W

ExecStop=/usr/bin/pkill -9 -e telegram-cli

User=telegramd

Group=telegramd

[Install]

WantedBy=multi-user.target

$ su -

# systemctl start setup-telegramd.service

# systemctl status setup-telegramd.service

● setup-telegramd.service - thlu:setup-telegramd.service     Start Telegram-Interface as service

   Loaded: loaded (/etc/systemd/system/setup-telegramd.service; disabled; vendor preset: enabled)

   Active: active (running) since Thu 2019-05-30 11:57:33 CEST; 6s ago

   Main PID: 921 (telegram-cli)

   Tasks: 1 (limit: 4493)

   Memory: 18.0M

   CGroup: /system.slice/setup-telegramd.service

           └─921 /opt/telegram/telegram-cli -d -P 55555 -L /home/telegramd/tg.log -W

Mai 30 11:57:33 ftps systemd[1]: Started thlu:setup-telegramd.service     Start Telegram-Interface as service.

# ss -tulpen | grep telegram

Netid  State     Recv-Q Send-Q  Local Address:Port  Peer Address:Port

tcp     LISTEN     0       5        127.0.0.1:55555        *:*                   users:(("telegram-cli"))

# systemctl enable setup-telegramd.service

Wie in der ss-Ausgabe oberhalb zu sehen ist, lauscht Telegram nur auf localhost. TCP-Pakete, die von anderen Rechnern an das reguläre Netwerk-Interface gesendet wurden, können von Telegram leider nicht bearbeitet werden, weil sie -wie oben schon erwähnt- vorher schon vom Kernel verworfen wurden. Mit dem Start als Daemon haben wir nun jedoch 2 weitere lokale Alternativen bekommen, neue Nachrichten zu versenden. Die vorher schon verwendete erste Variante funktioniert weiterhin:

# su telegramd

$ telegram-cli -k tg-server.pub -W -e "msg tom_alarm Vierte Testnachricht vom $(date +%d.%m.%Y_%H:%M:%S)"

$ echo "msg tom_alarm Fünfte Testnachricht vom $(date +%d.%m.%Y_%H:%M:%S)" >/dev/tcp/127.0.0.1/55555

$ echo "msg tom_alarm Sechste Testnachricht vom $(date +%d.%m.%Y-%H:%M:%S)" | nc -q 1 127.0.0.1 55555

$ cat /home/telegramd/catlog

#!/bin/bash

tail -n 200 tg.log | grep "\[[0-9][0-9]:"

# cd /etc/samba

# mv smb.conf smb.conf.org

# touch smb .conf

# ne smb.conf

# smb.conf

# Date   : 08.08.2019

# Version: 3

#

#==================================================================================================================

[global]

hosts allow = 10.0.1.0/24 localhost

workgroup = WORKGROUP

server string = %h server

server role = standalone server

dns proxy = no

log file = /var/log/samba/log.%m

max log size = 1000

panic action = /usr/share/samba/panic-action %d

security = user

encrypt passwords = true

passdb backend = tdbsam

obey pam restrictions = no

unix password sync = yes

passwd program = /usr/bin/passwd %u

passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

pam password change = no

map to guest = bad user

usershare allow guests = no

invalid users = root

#==================================================================================================================

# Shares

[FTP]

path=/media/FTP

writeable = yes

browseable = yes

guest ok = no

write list = @sambauser

valid users = @sambauser

force group = sambauser

create mask = 0660

force create mode = 0660

directory mask = 0770

force directory mode = 0770

# addgroup sambauser

# adduser thomas sambauser

# adduser silvia sambauser

# adduser manuel sambauser

# smbpasswd -a thomas

# smbpasswd -a silvia

# smbpasswd -a manuel

# pdbedit -L

# systemctl restart smbd nmbd

# systemctl status smbd nmbd

# testparm

rlimit_max: increasing rlimit_max (1024) to ....

Registered MSG_REQ_POOL_USAGE

Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED

Load smb config files from /etc/samba/smb.conf

rlimit_max: increasing rlimit_max (1024) to .....

Processing section "[FTP]"

Loaded services file OK.

Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions

# Global parameters

[global]

dns proxy = No

log file = /var/log/samba/log.%m

map to guest = Bad User

max log size = 1000

panic action = /usr/share/samba/panic-action %d

passwd chat = *Enter\snew\s*\spassword:*......

passwd program = /usr/bin/passwd %u

security = USER

server role = standalone server

server string = %h server

unix password sync = Yes

idmap config * : backend = tdb

hosts allow = 10.0.1.0/24 localhost

invalid users = root

[FTP]

create mask = 0660

directory mask = 0770

force create mode = 0660

force directory mode = 0770

path = /media/FTP

read only = No

valid users = @sambauser

write list = @sambauser

# chown ftpd:sambauser /media/FTP/*

An dieser Stelle sollte es jetzt möglich sein, vom eigenen PC aus über einen Mount-Befehl auf das durch Samba freigegebene FTP-Datenverzeichnis des Cam-Servers zuzugreifen (/media/FTP). Das ist das Verzeichnis, in dem künftig die Bilder der IP-Cams angelegt werden. Ich gebe also auf meinem PC den folgenden verkürzten Mount-Befehl (als root) ein:

# /bin/mount //10.0.1.42/FTP /mnt -t cifs -o username=thomas,uid=thomas,gid=thomas,defaults

und müsste dann sofort nach der Eingabe des Samba-Passwords im lokalen Verzeichnis /mnt den Verzeichnisinhalt der Freigabe ansehen und ggf. auch verändern können.

Sofern allerdings auf einem Client-PC ein permanenter Mount zum FTP-Server eingerichtet werden soll, der direkt beim Start erstellt wird, empfehle ich die Verwendung der im tar-File beigefügten Mount-Unit media-FTP@.service, anstatt des nicht mehr ganz zeitgemäßen Eintrags in die fstab. Die Aktivierung für den Systemstart auf meinem Rechner und mit meinen Samba-Berechtigungen würde dann mit folgendem Statement erfolgen:

# systemctl enable serverctl.service

# systemctl enable media-FTP@thomas.service

Ausführliche Informationen zur Handhabung von Remote-Mounts über das Netzwerk mit anwenderbezogenen Rechten sind in meiner Dokumentation < mountctl > enthalten.

Wenn der Cam-Server neu gestartet wird, möchte ich darüber informiert werden. Und zwar jedes Mal. Natürlich, wenn ich das selber veranlasst habe, weiß ich das ja und kann es direkt beobachten und kontrollieren, keine Frage... aber was ist während meiner Abwesenheit, wenn das System z.B. nach einem Stromausfall durch irgendwen neu gestartet werden muss? Die initiale Benachrichtigung via SMS und Telegram ist dann für mich die Bestätigung, dass der Server, sein Netzwerk und diese Funktionen wieder einwandfrei arbeiten. Es werden alle in der cam-event-ctl.conf eingetragenen Empfänger über den Neustart benachrichtigt.

# ne /etc/systemd/system/send-startup-sms.service

[Unit]

Description=thlu:send-startup-sms.service:  Send SMS after System is booted

After=setup-smstools.service setup-telegramd.service

[Service]

Type=oneshot

ExecStartPre=/bin/sleep 3

ExecStart=/usr/local/bin/cam-event-ctl smsbootinfo

[Install]

WantedBy=multi-user.target

# systemctl start send-startup-sms.service

# systemctl enable send-startup-sms.service

Wenn nach dem manuellen Start der Service-Unit die Empfänger gemäß der Einstellungen in der cam-event-ctl.conf durch diesen Test über den vermeintlichen Neustarts des Systems benachrichtigt wurden, kann dieser Service nun für den Systemstart aktiviert werden.

# systemctl reboot

# systemctl status setup-proftpd setup-smstools setup-telegramd smbd nmbd

● setup-proftpd.service - thlu:setup-proftpd.service:   Starts ProFTPD daemon

Loaded: loaded (/etc/init.d/proftpd; enabled; vendor preset: enabled)

Active: active (running) since Fri 2019-05-31 10:46:17 CEST; 47s ago

Process: 491 ExecStart=/etc/init.d/proftpd start (code=exited, status=0/SUCCESS)

Tasks: 1 (limit: 4493)

Memory: 10.0M

CGroup: /system.slice/setup-proftpd.service

Mai 31 10:46:15 ftps systemd[1]: Starting thlu:setup-proftpd.service:   Starts ProFTPD daemon...

Mai 31 10:46:16 ftps proftpd[491]: Starting ftp server: proftpd2019-05-31 10:46:16,876 ftps proftpd[501]: processing ....

Mai 31 10:46:17 ftps proftpd[491]: .

Mai 31 10:46:17 ftps systemd[1]: Started thlu:setup-proftpd.service:   Starts ProFTPD daemon.

● setup-smstools.service - thlu:setup-smstools.service:  Starts smstools-Daemon

Loaded: loaded (/etc/init.d/smstools; enabled; vendor preset: enabled)

Active: active (running) since Fri 2019-05-31 10:46:10 CEST; 54s ago

Process: 339 ExecStartPre=/bin/mkdir -p /var/log/smstools/smsd_stats (code=exited, status=0/SUCCESS)

Process: 356 ExecStartPre=/bin/chown -R smsd:smsd /var/log/smstools (code=exited, status=0/SUCCESS)

Process: 361 ExecStart=/etc/init.d/smstools start (code=exited, status=0/SUCCESS)

Tasks: 2 (limit: 4493)

Memory: 8.3M

CGroup: /system.slice/setup-smstools.service

Mai 31 10:46:08 ftps systemd[1]: Starting thlu:setup-smstools.service:  Starts smstools-Daemon...

Mai 31 10:46:09 ftps smstools[361]: Starting SMS Daemon: smsd.

Mai 31 10:46:10 ftps systemd[1]: Started thlu:setup-smstools.service:  Starts smstools-Daemon.

● setup-telegramd.service - thlu:setup-telegramd.service     Start Telegram-Interface as service

Loaded: loaded (/etc/systemd/system/setup-telegramd.service; enabled; vendor preset: enabled)

Active: active (running) since Fri 2019-05-31 10:46:15 CEST; 49s ago

Main PID: 492 (telegram-cli)

Tasks: 1 (limit: 4493)

Memory: 18.2M

CGroup: /system.slice/setup-telegramd.service

Mai 31 10:46:15 ftps systemd[1]: Started thlu:setup-telegramd.service     Start Telegram-Interface as service.

● smbd.service - Samba SMB Daemon

Loaded: loaded (/lib/systemd/system/smbd.service; enabled; vendor preset: enabled)

Active: active (running) since Fri 2019-05-31 10:46:17 CEST; 48s ago

Process: 461 ExecStartPre=/usr/share/samba/update-apparmor-samba-profile (code=exited, status=0/SUCCESS)

Main PID: 502 (smbd)

Status: "smbd: ready to serve connections..."

Mai 31 10:46:15 ftps systemd[1]: Starting Samba SMB Daemon...

Mai 31 10:46:17 ftps systemd[1]: Started Samba SMB Daemon.

Mai 31 10:46:17 ftps smbd[502]:   daemon_ready: STATUS=daemon 'smbd' finished starting up and ready to serve connections

● nmbd.service - Samba NMB Daemon

Loaded: loaded (/lib/systemd/system/nmbd.service; enabled; vendor preset: enabled)

Active: active (running) since Fri 2019-05-31 10:46:15 CEST; 50s ago

Main PID: 330 (nmbd)

Status: "nmbd: ready to serve connections..."

Tasks: 1 (limit: 4493)

Mai 31 10:46:08 ftps systemd[1]: Starting Samba NMB Daemon...

Mai 31 10:46:15 ftps systemd[1]: Started Samba NMB Daemon.

Mai 31 10:46:15 ftps nmbd[330]:   daemon_ready: STATUS=daemon 'nmbd' finished starting up and ready to serve connections

alarm.{on|off}

backup.{on|off}

upload.{on|off}

sms.{on|off}

msg.{on|off}

smspause.{on|off}

ispdelold.{on|off}

/usr/local/bin/cam-event-ctl.conf

Die Rechte-Einstellung für die Unit: root:root 644

remoteftps = www.toms_ftps.de                               # ISP-FTP-Account

remoteuser = toml

remotepassword = toms_isp_pwd

remotepath = CamEvents

localftps = 10.0.1.42                                       # lokaler FTP-Account

localuser = ftpd

localgroup = sambauser

localpassword = toms_ftp_pwd

localpath = /media/FTP

EncryptPwd = cam_tarfile_pwd                                # AES-Tarfiles -> ISP-FTP

tcliport = 55555                                            # Optionaler Port für Telegram-CLI-Daemon

MinDelSMSLock=60                                            # Nächste SMS frühestens nach ? Minuten

MinDelMSGLock=60                                            # Nächste MSG frühestens nach ? Minuten

sms2telno = 00491710000001                                  # Sende SMS an... wenn Zeitfenster-KZ 1 oder 3

sms2telno = 00491720000022

sms2telno = 00491730000333

msgto = tom_alarm                                           # Sende Telegram-Message an... wenn KZ 2 oder 3

msgto = silvia_alarm

msgto = manuel_alarm

smstxt = "Bewegungsalarm! Festgestellt am $(date +%d.%m.%Y-%H:%M)"

msgtxt = "Bewegungsalarm! Festgestellt am $(date +%d.%m.%Y-%H:%M)"

#    Vorgegebene Zeitfenster, in denen Benachrichtungen (SMS und MSG) versandt werden:

#                                             1   1   1   1   1   1   1   1   1   1   2   2   2   2

#     0   1   2   3   4   5   6   7   8   9   0   1   2   3   4   5   6   7   8   9   0   1   2   3

#     123412341234123412341234123412341234123412341234123412341234123412341234123412341234123412341234

sun = 333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333

mon = 333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333

tue = 333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333

wed = 333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333

thu = 333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333

fri = 333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333

sat = 333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333333

#              1         2         3         4         5         6         7         8         9

#     123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456

# cam-event-ctl debug

# cam-event-ctl init

# ftp

ftp> open www.toms_ftps.de

Connected www.toms_ftps.de.

220-FTP server ready.

220 This is a private system - No anonymous login

Name (www.toms_ftps.de):  toml

331 User toml OK. Password required

Password: toms_isp_pwd

230 OK. Current restricted directory is /

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> ls

200 PORT command successful

drwxr-xr-x    5 toml    2048 Aug 10 14:38 .

drwxr-xr-x    5 toml    2048 Aug 10 14:38 ..

ftp> mkdir CamEvents

257 "CamEvents" : The directory was successfully created

ftp> ls

200 PORT command successful

drwxr-xr-x    6 toml    2048 Aug 11 13:58 .

drwxr-xr-x    6 toml    2048 Aug 11 13:58 ..

drwxr-xr-x    2 toml    4096 Aug 11 13:58 CamEvents

ftp> bye

221-Goodbye. You uploaded 0 and downloaded 0 kb.

221 Logout.

# cam-event-ctl testrftps

12.08.2019-19:10:04 Upload=off

# mv /media/FTP/run/upload.off /media/FTP/run/upload.on

# cam-event-ctl testrftps

10.08.2019-16:39:21 Start senden /media/FTP/run/Testupload

Passive mode on.

Connected to www.toms_ftps.de.

220-FTP server ready.

220 This is a private system - No anonymous login

331 User toml OK. Password required

230 OK. Current restricted directory is /

Remote system type is UNIX.

Using binary mode to transfer files.

Local directory now /media/FTP/run

250 OK. Current directory is /Cam

local: Testupload remote: Testupload

227 Entering Passive Mode (178,254,10,134,255,136)

150 Accepted data connection

226-File successfully transferred

226 0.034 seconds (measured here), 1.49 Kbytes per second

52 bytes sent in 0.00 secs (130.5431 kB/s)

221-Goodbye. You uploaded 1 and downloaded 0 kbytes.

221 Logout.

TP 2 = alarm

Das Programm wird rund um die Uhr im 5-Minuten-Rhythmus gestartet und überprüft die FTP-Verzeichnisse darauf, ob in den letzten 5 Minuten neue Bilder angelegt wurden. Wenn ja, erfolgt die in TP 2 beschriebene Verarbeitung.

TP 3 = backup

TP 4 = delete

TP 5 = logrotate

10.0.1.0

IPv4

10.0.1.1

IPv4

10.0.1.20,   10.0.1.21  und   10.0.1.22

IPv4

10.0.1.25

IPv4

10.0.1.42

IPv4

Aufruf: cam-event-ctl { alarm | backup | delete | smsbootinfo | logrotate | { ? | -help }

Mehrere Parameter bei Programmstart sind grundsätzlich nicht erlaubt. Für jeden Job-Lauf ist genau 1 Parameter zur Übergabe erlaubt, mehrere unterschiedliche Jobs werden jeweils einzeln und explizit mit dem passenden Parameter aufgerufen. Bei Aufruf ohne Parameter wird das Programm im Menü-Mode gestartet. Der Aufruf im Menü-Mode ist nicht für den Server selber vorgesehen, sondern nur zur Unterstützung für einfache Customizing-Zugriffe über das Netz.

Bei den von den IP-Cams innerhalb der vorgegebenen Bild-Prüfbereiche festgestellten Bewegungsalarmen werden pro Alarm die eingestellte Anzahl an Aufnahmen auf dem lokalen FTP-Server gespeichert. Weil der lokale FTP-Server die von den Cams übernommenen Aufnahmen jedoch nur auf einer virtuellen Fesplatte (also nur im RAM) speichert, sind die Aufnahmen deshalb flüchtig. Aus diesem Grund werden die Aufnahmen bei aktiven Alarm im 5-Min.-Rhythmus zusätzlich als AES-verschlüsseltes Tarfile auf einem externen FTP-Server gesichert.

Folgende Einstellung für den Alarm, zum Speichern und Löschen bereits hochgelandener Dateien sind möglich. Der „Schalter“ aktiviert oder deaktiviert die jeweilige Funktion:

Alarm-Aktiv = Prüft alle 5 Minuten auf neue, durch Bewegung ausgelöste Aufnahmen und überträgt die Bilder der letzten 6 Minuten als AES-verschlüsseltes Tar-File zum ISP-FTP-Server. SMS-Benachrichtigungen sind per Default immer aktiv!

Upload = Führt zur Sicherung von Dateien Uploads auf den angegebenen FTP-Web-Space durch, siehe Teilprozesse 2, 3 und 4. Zugangsdaten sind erforderlich: Hostname, Username, Password.

Send SMS = SMS-Benachrichtigung bei bzw. nach einem Bewegungsalaram.

SMS 12h Pause = SMS-Benachrichtigung bei aktiven Alarm vorübergehend (für max. 12 Stunden) deaktivieren. Nach 12 Stunden wird das SMS-Senden bei Bewegungsalarm automatisch wieder aufgenommen.

Send Nachricht = Telegram-Cli-Benachrichtigung bei bzw. nach einem Bewegungsalaram.

4h-Backups = Sichert im 4-Stunden-Rhythmus die Ereignisaufnahmen der letzten 4 Stunden zum ISP-FTP-Server, weiterhin lokale Dateien löschen, die im Moment älter als 12h sind.

ISP Delete = Alte Tar-File-Archive auf dem ISP-FTP-Server automatisch morgens um 1 Uhr löschen

Datei entschlüsseln = Entschlüsselt und entpackt eine Archiv-Datei, die zuvor mit Hilfe eines FTP-Clients (z.B. Midnight Commander oder FileZilla) vom ISP-FTP-Server auf den lokalen PC runtergeladen werden muss. Die Bedienung des File-Dialogs ist ein wenig unkonventionell, aber dennoch hilfreich:

Tab-Taste:      Wechseln zwischen den Bereichen

Leer-Taste:     Datei oder Verzeichnis auswählen

Enter-Taste:    Auswahl bestätigen bzw. ausführen

# dpkg -l nftables

# apt install nftables

# ne /usr/local/bin/netfilter

nft add rule ip filter input tcp dport 55551 ip saddr $ipv4_prefix accept

nft add rule ip filter input tcp dport 55555 ip saddr 127.0.0.0/8 accept

nft add rule ip filter output tcp dport 55555 accept

# systemctl start netfilter.service

# systemctl enable netfilter.service

Weil meine Logs einem mengenbasierten Log-Rotate unterliegen, muss ich sogar davon ausgehen, dass die tatsächliche Dauer der Attacke noch länger war und das frühere Sätze jetzt nicht mehr sichtbar sind... aber das jetzt noch sichtbare reicht völlig aus, um erst mal geschockt zu reagieren. Dabei will ich gerne glauben, dass mein Netz nur ein zufälliges Ziel war und nicht explizit ausgewählt wurde. Allerdings war das eine geradezu konzertierte Aktion, gleichzeitig ausgehend von mehreren unterschiedlichen IP-Adressen.

Also jeder, der leichtfertig darüber nachdenkt, irgendwelche Ports in sein Heimnetzwerk zu öffnen, um komfortabel aus dem Internet heraus auf seine Hausautomatisierung zuzugreifen, sollte sich das besser dreimal überlegen. Mittlerweile sage ich sogar ganz unverblümt, nur Dummheit öffnet ungesicherte und nicht-überwachte Ports in das private Netzwerk und verwendet gleichzeitig auch noch Client- oder Server-Software aus anonymen Quellen, oder betreibt Netzwerkslösungen, die er nicht versteht und kontrollieren kann, oder lädt unverschlüsselte Daten auf proprietäre Clouds hoch, aus denen dann Rückschlüsse auf private Lebensumstände gewonnen werden können.

Das sind meine Logs aus dem Zeitraum:  11.08.2019 und 12.08.2019... die allemal Anlass sein sollten, alle eigenen Aktionen sorgfältig zu hinterfragen und auf einen Security-Prüfstand zu stellen.

22.08.2019

26.12.2019

29.06.2020