===== sshblack und macOS update =====

Nach update auf macOS Bir Sur hat so einiges nicht mehr richtig funktioniert.

  * ich musste die apache configs vom backup wieder kopieren
  * aktualisieren von brew
  * macOS hat ffmpeg rausgeschmissen, also per brew wieder installiert und Pfad im [[launchdaemons|LaunchDaemon]] angepasst
  * dyld: Library not loaded: /usr/local/opt/icu4c/lib/libicui18n.67.dylib; Referenced from: /usr/local/bin/node; Reason: image not found -> brew upgrade; brew cleanup; brew uninstall --ignore-dependencies node icu4c; brew install node
  * die eigenen [[launchdaemons|LaunchDaemons]] laufen nicht mehr. <del>Auch umstehen von eigener Kennung auf root brachte nichts</del> Lag wohl mehr an den Innereien der plists. Jetzt habe ich 4 statt 3 auf user umgestellt, da ich nicht mehr wusste, welche...mehr Info in dem Link
  * dabei habe ich noch gefunden, dass ein db-update noch nicht auf neue Kennung umgestellt war **seufz** (status_insert_to_db.php)
  * Sprachausgabe am iMac die Pfade auf neues ffmpeg angepasst; ausgäbe von say ist jetzt(?) aiff. da die Datei als m4a gespeichert wurde, kam das neue ffmpeg nicht damit zurecht. auch das jetzt angepasst.
  * iTunes heisst jetzt Musik, also alle Skripte darauf anpassen
  * fail2ban log unter /var/log/fail2ban.log wurde in der Konsole nicht angezeigt. Man musste 'sudo chmod +r /var/log/fail2ban.log' machen
  * sshblack log wurde nicht angezeigt ind Konsole. Dort lag es daran, dass das Logfile nicht auf ".log" endete (früher war dem Mac das egal, aber er wird immer mehr wie windows)
  * In den Logfiles gab es Probleme mit mds: 
     * sudo mdutil -a -I off; Spotlight-Indexer stoppen
     * sudo rm -rf /System/Volumes/Data/.Spotlight-V100/
     * sudo mdutil -a -i on
     * bringt nichts, Meldungen bleiben: Service exited due to SIGKILL | sent by mds[88]
     * Info kam von [[https://apple.stackexchange.com/questions/144474/mds-and-mds-stores-constantly-consuming-cpu|apple-seite]]
  * In Logfiles gab es Probleme mit ssh
    * Im Kontrollfeld ssh diabled, dann waren sie weg, sind also Einbruchversuche?


Aktuell wird das Logfile auf ssh-Fehlversuche gescannt. Das geht inzwischennicht mehr so einfach. Man muss sich sozusagen die letzte Minute des systemlogs holen mit
  /usr/bin/log show --style syslog --last 1m|grep sshd
Eine andere Methode wäre wohl:
  /usr/bin/log stream --info --style compact --predicate '(sender == "sshd")'

sshblack ging nicht mehr: man musste in die /etc/pf.conf wieder die drei Zeilen eintragen
<code>
table <badhosts> persist
block on en0 from <badhosts> to any
block on en1 from <badhosts> to any
</code>
(re)starten kann man die Firewall dann mit
<code>
sudo pfctl -d
sudo pfctl -e -f /etc/pf.conf
</code>
Um die geblockten iOS anzuzeigen macht man ein
  sudo /sbin/pfctl -t badhosts -T show (zeigt die geblockten an)
Um eine Einzutragen:
  /sbin/pfctl -e -t badhosts -T add ipaddress
und raus bekommt man sie mit
  /sbin/pfctl -e -t badhosts -T delete ipaddress
Mehr auf [[https://unix.stackexchange.com/questions/151669/how-to-block-abusive-ip-addresses-with-pf-in-openbsd|dieser]] Seite.  

AbuseIPDB hat eine neue Version ihrer API. darauf bin ich jetzt erst gestossen und muss sie anpassen.

Beim Update auf 12.1 Monterey ging apache erst nicht mehr, man musste brew aktualisieren und Apple nutzt jetzt Port 5000 für seinen airplay receiver. Also umstellen des not-lina_say Servers und alle Aufrufe auf Port 555.

Stand Dezember 2021