homelabdoku/lxc/CT202-logserver.md

# CT 202 — logserver

## Systemdaten

| Eigenschaft | Wert |
|-------------|------|
| VMID | 202 |
| Hostname | logserver |
| IP | 192.168.0.241/24 |
| OS | Debian GNU/Linux 13 (trixie) |
| CPU | 2 vCores |
| RAM | 2048 MB |
| Disk | nasstorage:202/vm-202-disk-0.raw, 1000 GB |
| Bridge | vmbr0 |
| Autostart | ja |
| Status | running |

## Dienste

| Dienst | Port | Beschreibung |
|--------|------|-------------|
| rsyslog / syslog | 514 UDP/TCP | Zentrale Log-Sammlung |
| promtail | 9080 | Log-Shipper zu IDS-Monitor/Loki |
| fail2ban | - | Brute-Force-Schutz |
| avahi-daemon | - | mDNS Discovery |
| postfix | - | Mailversand für Alarme |

## Zugriff

- **SSH:** `ssh claude@192.168.0.241`

## Automatisierungs-Skripte (cron.daily)

| Skript | Funktion |
|--------|---------|
| `anomalie_check.sh` | Erkennt Anomalien in Logs, IP-Lookup via ipinfo.io, Alarm-Mail |
| `dienst_watchdog.sh` | Überwacht kritische Dienste, Neustart bei Ausfall |
| `security_audit.sh` | Täglicher Sicherheits-Audit |
| `smarthome_scan.sh` | Scannt SmartHome-Geräte |
| `parse_nmap.sh` | Parst NMAP-Scan-Ergebnisse |
| `mail_fix.py` | Postfix-Reparatur-Skript |
| `trauer_report.py` | Pentest-Report-Generator (www.trauer.de) |

**Pfad:** `/home/claude/scripts/`

## Log-Eingang (rsyslog)

Alle LXC/VMs senden Logs per syslog-Protokoll an Port 514.

## Alarm-Mails

`anomalie_check.sh` sendet bei Auffälligkeiten E-Mails mit:
- Angreifer-IP
- IP-Lookup: Land, Stadt, ASN/Org, Hostname (via ipinfo.io)
- Gescannte Pfade / HTTP-Methoden
- Anzahl der Versuche
- HTTP-Status-Codes
- Bei SSH: Versuchte Benutzernamen