Discussion Pour le tuto Sécurisation & Logs V3 : https://mondedie.fr/d/5318-Tuto-Securisation-Logs-V-3-nginx

Un GRAND merci ex_rat Version 2.0 du tuto presque parfaite. J'aurai une question sur la sécurisation SSH, lorsque que on a bloqué le login root et autorise un user perso créé, Il y a un moyen de pouvoir avoir les droits root sur filezilla en sftp avec l'user perso ?

Non. Pour avoir les droits root c'est soit utiliser sudo (pas possible avec filezilla) soit changer l'uid = 0 ce qui revient à renommer le user root en autre chose.

Merci beaucoup pour ce tuto très clair ! Je débute avec mon dédié Kimsufi et j'ai pu tout paramétrer sans problème, beau boulot.

Merci Par contre y'a un os, pas trop embêtant parce que ça risque pas grand chose mais quand même... Je m'étais jamais trop penché sur fail2ban mais la config' pour lighttpd qu'on retrouve sur tout les tuto qui trainent marche pas vraiment. Les 3 fichiers de conf "apache-truc" qu'on utilise en /etc/fail2ban/filter.d/ ne voient rien passer. C'est pour ça qu'on ramasse des bots "myphpadmin" en rafale entre autre. Pareil pour les tentatives d'identification à la porte de rutorrent, ça ban quedale Je teste quelques trucs... Pour l'identification j'ai ça déjà qui marche pas mal même si ça ne ban que si le guignol utilise un pseudo existant sur la box (pas trouvé pour un "toto" mais c'est moins gênant) On édite : nano /etc/fail2ban/filter.d/apache-auth.conf On efface tout et on colle à la place : # Fail2Ban configuration file # for lighttpd htdigest [Definition] # Option: failregex # Notes.: regex to match the password failure messages in the logfile. # Values: TEXT failregex = .*http_auth.*wrong password.*IP: <HOST>\s*$ .*http_auth.*password doesn\'t match.*IP: <HOST>\s*$ # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT ignoreregex = Et on relance fail2ban : /etc/init.d/fail2ban restart J'ai testé c'est ok, je viens de bannir ma mère au bout de 3 tentatives. "Mais t'es sur que je vais pas avoir d'ennuis ?!?" 🙂) J'ai un truc aussi pour les bots phpmyadmin mais j'attends d'avoir plus de retour sur mon test, je manque de pénibles sur le serveur pour l'instant. Votre avis sur la question m’intéresse grandement et si vous pouvez confirmer... Et pas facile "regex" au passage. Ex.

Oui c'est ça, j'ai une regex en stock pour nginx pour ceux qui voudrons passer à nginx quand j'aurais fait le tuto.

Ok je ferais la mise à jour un peu plus tard avec des règles propres. On suit des trucs sans les comprendre et on fait pornawak, c'est malheureux Edit: J'ai corrigé la partie Fail2Ban / Lighttpd avec ajout d'un filtre anti-script, ça marche pas mal du tout Ajout dans la règle anti script de fail2ban d'une ligne anti wootwoot qui marche pas mal du tout.

Bonjour et merci a ex_rat pour ce tuto. Tous c'est parfaitement dérouler, par contre je n'ai pas encore osé toucher la partie sécurité ssh.Du coup j'ai aussi sauté l’étape portsentry. De toute façon je me suis aperçu que dans les mails reçus par fail2ban la plupart des tentatives ont été effectuées sur des ports autre que le 22. J'ai juste 2, 3 questions: - Sur la partie "postfix" pour rediriger les mails vers root a quoi sert pour appliquer les changements `newaliases` Moi j'ai fait `/etc/aliases` modifier en `/etc/newaliases`.Au début j'avais créé un newaliases dans aliases mais cela ne me retourner aucun mail. - Dans la partie "logwatch", on edit le fichier `/usr/share/logwatch/default.conf/logfiles/lighttpd.conf` et on modifie les valeurs. J'ai supprimé la totalité des lignes et j'ai copié les lignes du tuto `LogFile = lighttpd/*access_log......ect` - Et pour finir sur la partie fail2ban mais je crois que du coup c'est bon puisque je reçois les logs par mail sur la création des deux filtres pour Lighttpd.Dans les fichiers, on remplace *HOST* par rien ? Merci.

Salut - Pour ta question sur logwatch, il y a juste l'adresse mail à modifier, le reste des commandes se tape tel quel sans rien changer: nano /etc/aliases Et rajouter à la fin : root: ton_mail@mail.com Tu enregistres la modif' : (ctrl X... Y...) Et après seulement, quand t'es "revenu" sur ta console tu tapes pour valider les changements : newaliases - Pour ta question sur HOST, on laisse comme ça dans les règles sans rien modifier. Par contre, ne fait pas l'impasse sur la sécu SSH, c'est le plus important avec fail2ban, et penses après a modifier le port surveillé par fail2ban pour qu'il fasse son boulot Bon courage Ex.

Salut , je doit bien avoir tous fait car je reçois parfaitement tous les mails. C'est aussi ok pour la partie SSH. Par contre comment supprimer quelques lignes dans le logserver ? Tu compte faire une partie pour AWStats ? ça permet bien de vérifier toutes les adresses ip banni sur le serveur? sudo nano checklist_ban Merci.

Pour AWStats il y avait ça dans l'ancien post sécurité qui est un peu plus bas sur la première page. Mais d'après les commentaires il y avait des soucis donc j'ai pas remis au propre, si quelqu’un a un tuto 100% fonctionnel, qu'il hésite pas Logserver, y'a une rotation du log sur 7 jours, c'est vrai qu'en fin de semaine le fichier est un peu lourd mais c'est pas trop gênant, j'ai pas soluce pour faire plus light mais si quelqu’un a ça et veut faire évoluer le truc avec un script ou autre idée, il est le bienvenue.... Fail2ban utilise Iptables, d'après la faq pour voir les ban en cours: `iptables -L` Pour un log plus parlant voir ici en bas de page: FAQ Fail2ban , faut ajouter des trucs dans les actions de jail.local Après y'a toujours moyen de voir les dernières entrées et suivre ça en live dans fail2ban.log quand y'a rien à la tv : tail -f -n 50 /var/log/fail2ban.log | ccze (toujours avec des jolies couleurs, parce que j'aime bien ! ) Ex.

[Discussion] : Sécurisation & Logs {nginx} {lighttpd} : Page 17

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] : Sécurisation & Logs {nginx} {lighttpd}

gormson

je confirme que c'est pas ta faute car sur le lien que tu as donné (http://www.isalo.org/wiki.debian-fr/Portsentry) il y a aussi la typo

Et de rien c'est si peu

Yaris

Bonjour,

j'ai suivi ce super tuto, merci ex_rat.

Après quelques semaines, je m'inquiète au niveau des logs que je reçois, au niveau du nombre d'unbans, ça donne ça chaque jour:

Banned services with Fail2Ban:                          Bans:Unbans
    nginx-badbots:                                          [  4:4  ]
    ssh:                                                    [  1:18 ]

Est-ce normal d'avoir autant d'unbans ou il y a un truc qui cloche (surtout par rapport au faible nombre de bans) ?

Merci d'avance.

Wagner

Bonsoir,

par défaut, Fail2Ban est configuré afin de procéder à des ban temporaires (définit par la variable bantime cf le fichier jail.conf - ligne n°59). Une fois la durée écoulée, il procéde automatiquement à un unban.
Donc, c'est probablement normal.

Yaris

Bonsoir,

Ah j'y avais pensé à l'échéance des bans temporaires, merci pour la réponse, rien de grave donc, mais étant noob en ssh j'avais besoin d'une confirmation pour me rassurer.

Wagner

De rien, je comprends ça arrive à tout le monde.

Moubai

salut je viens de relire le tuto, en particulier pour réinstall rootkithunter sur mon debian 8 Jessie
j'ai tenté l'install mais j'obtiens cette erreur-ci lors de l'exécution

Invalid SCRIPTWHITELIST configuration option: Non-existent pathname: /usr/bin/lwp-request

2 solutions possible (après avoir regardé ici -> https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=773974)

Soit commenter la ligne

SCRIPTWHITELIST=/usr/bin/lwp-request

Soit installer les dépendances supplémentaires en faisant

aptitude install libwww-perl

Perso j'ai opté pour la seconde solution

ex_rat

Merci, je l'ai ajouté au tuto.
Ex.

pachti

salut
super merci pour le tuto, c'est la deuxième fois que je l'utilise mais... (et oui même si ça fait deux fois, je veux toujours aller trop vite (je me suis dit c'est bon je sais faire!!!) )
j'ai un petit soucis avec postfix
j'ai zappé l'info :

Lors de l'installation, laisser la configuration par défaut et dans "Nom de courrier" mettre le nom de votre serveur.

du coup lors des test, je ne reçois rien...

en fait si je reçois mais dans /var/mail

y'a surement un moyen de corriger ma bévue mais ou?

à moins que ce soit parce que je mon debian est à la maison et qu'il faut que j'ouvre un port particulier sur la (live)box

Merci

ex_rat

Tu peux refaire cette étape:

dpkg-reconfigure postfix

et tu relances après.

/etc/init.d/postfix restart

Je ne sais pas trop où il range l'info...

Pas sur que ton soucis vienne de là, vérifies bien toutes les modifs des fois que tu es loupé un truc.
Ex.

myxomatom

Bonjour,

J'ai une question de noob:

Personnellement j'ai suivi une bonne partie du tuto pour sécuriser mon serveur.

Par contre, pour ce qui est de la partie mail, ayant des problèmes de configuration, j'ai opté pour la solution exim4.

Y-a-t-il un avantage à utiliser postfix (uniquement dans le cas d'une sécurisation de serveur, je n'ai pas besoin d'un service de mail sur mon serveur)

Merci et bonne journée.

pachti

ex_rat wrote:Pas sur que ton soucis vienne de là, vérifies bien toutes les modifs des fois que tu es loupé un truc.
Ex.

merci de te pencher sur mon pb

effectivement cela n'a rien changer, aucun mail...
le truc c'est que dès le premier test rien...

J'ai installer debian (8) puis je me suis attelé à ton tuto de sécurisation... du coup complètement vierge le bazar...
~~en parallèle j'ai installé un server dhcp pour gerer mon reseau à la place de la (live)box, et j'ai un 'tit bug, mais je vais pas troller ici et pense ouvrir un nouveau topic~~ pb reglé

pour en revenir au pb de Postfix...
lorsque j'exit root, et revient à mon compte, debian me dit "Vous avez du nouveau courrier dans /var/mail/user"
en fait il m'envoie tout à mon user plutôt que me le mail...
encore un truc que j'ai du zapper

ex_rat

Je viens de tester vite fait le début du tuto sur debian 8 et j'ai pas de soucis. J'ai tout laissé par defaut à l'install' ( qui est plus chic qu'avant !) et les "hello world" part bien derrière.

A part une erreur là, je vois pas:
Redirection des mails root :

nano /etc/aliases

Et rajouter à la fin :

root: votre_mail@gmail.com

Pour valider les changements :

newaliases

Nouveau test :

echo 'Salut, je suis un email.' | mail -s 'Hello world' root

Tu devrais peut-être faire un topic à part pour que ce soit plus visible, parce que je ne vais pas pouvoir t'aider plus que ça.
Ex.

pachti

t'es plus rapide que moi je venais d'éditer mon message en précisant ce que tu me dit
j'avais deux lignes root qui renvoyait un vers mon user l'autre vers mon mail
j'ai viré la ligne vers le user mais ça n'envoie toujours pas de mail

ok pour le nouveau topic 😛
je continu de cherche et j'ouvre si je craque 😛

merci

[edit]
problème régler ici

Cyprien

Salut tout le monde !

Merci pour ce tuto ! Mais j'ai un petit problème maintenant 😀.
J'ai changer mon accès SSH. Donc maintenant j'y accède avec un nouveau login et un autre port. Le problème c'est que je ne peux plus modifier les fichier en SFTP avec mon nouvelle accès.
En essayant de résoudre le problème, j'ai fait des modifs et je ne peux plus accéder en SFTP avec mes autres users.

voici mon fichier de config SSH :


# What ports, IPs and protocols we listen for
Port <monport>
Protocol 2

HostKey /etc/ssh/ssh_host_rsa_key

HostKey /etc/ssh/ssh_host_ed25519_key

#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
#PermitRootLogin without-password
PermitRootLogin no
StrictModes yes

AllowUsers <loginSSH> <users1> <users2> <users3> 

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes

# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no


PermitEmptyPasswords no


ChallengeResponseAuthentication no


# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp internal-sftp

Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160
KexAlgorithms diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1

Match User <users1>
ChrootDirectory /home/<users1>
Match User <users2>
ChrootDirectory /home/<users2>
Match User <users3>
ChrootDirectory /home/<users3>

Dans mes modifs j'ai essayer de faire :
chown -R <monloginSSH> /home/ <monloginSSH>
chown -R <monloginSSH> /

Match User <monloginSSH>
ChrootDirectory /home/<monloginSSH> ...

Mais comme je le disais maintenant, je ne peux plus accéder par SFTP avec mes users mais uniquement avec <monloginSSH>.
Par contre si je retire :

Match User <users1>
 ChrootDirectory /home/<users1>
Match User <users2>
ChrootDirectory /home/<users2>
Match User <users3>
ChrootDirectory /home/<users3>

la connexion SFTP fonctionne mais du coup ils peuvent accéder au serveur entier...

Merci pour votre aide.

EDIT : j'ai essayer ça en vain ...

chown -R <username>:<username> /home/<username>
chown root:<username> /home/<username>
chmod 755 /home/<username>

ex_rat

Salut
C'est normal que l'user qui te serve à la connexion root n'ait aucun droits sur les fichiers, il ne remplace pas le root, il sert juste à "filtrer". En suivant le tuto, tu n'auras pas d'accès root en sftp du tout.

Je vois pas trop ce qui cloche pour tes users, désolé, juste le ciphers là qui pique l’œil juste au milieu de tes users et Subsystem sftp internal-sftp
, c'est peu-être pas souhaitable.

Donc après modif, avec un "toto" qui sert pour se connecter en root et 2 users, on serait comme ça sur un fichier d'origine:

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22 # changé port perso
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

AllowUsers toto pierre paul

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp internal-sftp
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
#UsePAM yes
Match User pierre
ChrootDirectory /home/pierre
Match User paul
ChrootDirectory /home/paul

La manip pour le chroot vient d'ici: http://mondedie.fr/d/840 , donc tes commandes à la fin sont ok pour moi:

chown -R <username>:<username> /home/<username>
chown root:<username> /home/<username>
chmod 755 /home/<username>

Attendre un autre avis parce que je ne sais pas trop quoi te dire moi

Ex.

Cyprien

Merci pour ton aide ex_rat.
J'ai modifier en faisant /etc/init.d/ssh restart avec un reboot du serveur mais rien à faire, mes users ne peuvent plus se connecter 😀.
J'ai du faire une mauvaise manip lorsque je voulais donner des droits d'accès à mon accès "root".

Je vais refaire une installation bientôt de toute façon 🙂. Je suis en train d'essayer un peu tous les tutos pour voir ce qui peut me plaire. Ensuite je ferais une install propre

Sunrized

ex_rat wrote:Salut
C'est normal que l'user qui te serve à la connexion root n'ait aucun droits sur les fichiers, il ne remplace pas le root, il sert juste à "filtrer". En suivant le tuto, tu n'auras pas d'accès root en sftp du tout.

Salut, tout d'abord merci pour ton tuto beau travail !

Si le user qui me sert à la connexion root n'a pas de droits sur les fichiers, comment faire pour les modifier en sFTP ( à part changer les droits des dossiers/fichiers ) vu qu'on à pas accès au "droits" root ? ( il y a peut-être un moyen avec winscp ? Je ne connais pas vraiment ^^ )

Bonne journée & encore super tuto !

shiraz91

Salut,

Je suis sous DB8 et je suis coincer à cette étape dans le fichier fail2ban .jail.local

Je ne trouve pas ces lignes

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

Il faut les rajouter ?

Merci

ex_rat

Salut
Tu devrais l'avoir pourtant (à moins d'un changement récent de fail2ban). Tu l'as installé toi même ou c'est la conf du script auto ?
Regardes dans le fichier /etc/fail2ban/jail.conf si tu trouves les lignes. Au tout début du script auto, le fichier était assez light pour jail.local mais maintenant il est complet, c'est peut-être pour ça.

Mais à part ça oui, tu dois pouvoir ajouter le truc dans le fichier sans soucis si y'a pas (je pense, tu verras bien si il gueule à la relance ! )

destemail = root
action = %(action_mwl)s

Ex.

shiraz91

C'est bien la conf. du script auto...
Alors dans /etc/fail2ban/jail.conf

# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protoco$

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(proto$
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="$

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(prot$
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", log$

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc$

En tout cas, il a bien pris en compte les 2 lignes, à voir si sa m'envoie bien un mail lors d'un ban

EDIT : Je ne recois aucun mail après le reboot de fail2ban

« Page précédente Page suivante »