• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

Salut.
J'ai depuis un moment parametré le systeme de mail du tuto de securisation via mon adresse gmail.
A un moment j'ai du creer des filtres pour eviter que tout arrive dans la partie spam.
Mais maintenant il m'est carrement impossible de recuperer les mails.
J'ai une messge de
"I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system"

"Our system has detected that this message is 550-5.7.1 likely
unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1
this message has been blocked. Please visit 550-5.7.1"

Doit je comprendre que gmail ne veux plus de ces mails meme en creant des filtres ?
Salut
J'ai bien l'impression que oui... Il me semble qu'il a une procédure pour débloquer ça chez Gmail mais j'en sais pas plus.
Perso pour arrêter de me prendre le choux avec les histoires de spam et les ip moisies de d'ovh, J'envoie tout les mails serveur sur un adresse spécial du genre serveur.mondomaine.com que je fais relever par Gmail, depuis plus de soucis avec ça.
Ex.
@cocolabomb Oui c'est possible avec "courrier", tu peux faire des adresses du type login@nomdedomaine.com et envoyerrecevoir le contenu de logrotate, logwatch etc sur thunderbird/roundcube. C'est assez fastidieux à mettre en place la première fois mais je peux expliquer si ça intéresse du monde (et quand j'aurais le temps).

Au fait Ex_, y'aurais pas un blème dans ton script unban
iptables -D INPUT -s $IP -j DROP
ce serait pas
iptables -D INPUT -s $IP -j ACCEPT
plutôt?

J'ai un petit problème l'autre fois je pense que le serveur a banni un user et j'arrive pas à le réintégrer. Il y a un moyen de connaître les IP bannies définitivement quelque part?
Ola !
Tu m'as mis le doute mais non, je viens d'aller au nouvelles et ce serait bien DROP avec l'option -D pour unban une ip solo, on retrouve plutôt les ACCEPT sur les règles de routages apparemment .
Pour ton user, y'a bien la solution d'aller fouiller avec iptables -L mais quand il y a 3 millions d'ip t'as rapidement les yeux qui pleurent ☹
Peut-être moins prise de tête de faire un grand coup de vide avec iptables -F , de toute façon, un pénible qui reviendrait se reprendrait un ban direct donc...
Faut juste penser à sauvegarder après le grand ménage si tu utilises un truc de genre " iptables-persistent ".
Iptables est totalement imbuvable
Ex.
En règle général j'ai jamais eu de problème avec Iptables. Par contre avec mon user bloqué impossible de le faire réaccéder au serv, même après un iptables -F et en désactivant fail2ban et tout. Je suis ouvert à toute suggestion. Il n'a de problème à se connecter qu'au nouveau serveur nginx, pas à l'ancien qui est sur le même port, et c'est une impossibilité globale, à tout ce qui concerne l'ip serveur.
Une idée...
Tu le retrouverez pas son ip dans /etc/hosts.deny à ton pinocchio ?
Si oui, suffit de l'effacer du fichier.
Ex.
Il était effectivement dans /etc/hosts.deny, un fichier que je ne connaissais pas. Je l'ai retiré et tout est rentré dans l'ordre. Je vais me renseigner sur le pourquoi du comment mais je pense qu'il a dû se tromper de mdp plusieurs fois. Encore merci, Ex_ !
Cool
Alors ton lascar, "à tord ou à raison", s'est fait flasher par Portsentry.
Mon naturel méfiant et mon addiction à nmap fera que j'en dirais pas plus...
Ex.
6 jours plus tard
Bonjour et merci pour ce looooooong tuto

Néanmoins j'ai du m'arrêter en cours de root route car j'ai un petit souci avec l'envoi de mail.
Jusqu'ici, tout va bien : 
echo 'Salut, je suis un email.' | mail -s 'Hello world' votre_mail@gmail.com
Par contre, lorsque je modifie : 
nano /etc/aliases
En y mettant mon adresse mail en face de root, et lorsque que j'utilise : 
echo 'Salut, je suis un email.' | mail -s 'Hello world' root
Je ne reçois aucun mail... J'ai bien fais un newaliases, mais pourtant ça ne fonctionne pas.

Une idée ?
# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
monit: root
root: mon_mail@gmail.com
Ca sent la galère de gmail ça, faudrait tester avec un autre mail pour voir. Du genre bal sur le nom de domaine pour être sur que ça filtre pas.
Ex.
Verifie si tes mails sont pas arrivés dans les spams de gmail.
Hello! D'abord ex merci pour le tuto! Je m'étais arrêté avant fail2ban dans ton tuto mais vu que y a un chinois qui pousse un peu trop à la porte je me suis décidé à continuer

Juste une petite question avant de passer à la suite dans le fichier
nano /etc/fail2ban/jail.local
vu que j'ai une IP dynamique chez moi que dois-je mettre dans le champ ignoreip ici?
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1 XXX.XXX.XXX.XXX  #<= Votre IP "maison" habituelle si fixe
Merci d'avance!
Salut
Malheureusement rien,tu t'en occupe pas de ça. c’est bien le problème des ip dynamique
Restera juste à faire attention à pas trop se louper en rentrant tes mots de passe plus tard
Le ban est réglé d'origine sur 10 minutes donc c'est pas la mort non plus si tu te loupe un jour !
Ex.
Heps j'ai un petit soucis, fail2ban me ban en temps que badbot. Ca fait plusieurs fois que ca arrive et ou je dois rebooter mon routeur ^^
J'ai desactiver le ban de badbots pour le moment. Quelqu'un saurait d'ou ca peut venir ?
http://puu.sh/8xKD3.png
L'ip entourée en rouge est la mienne ^^
salut
Surement par rapport à l'accès phpmyadmin (vu tes derniers messages )

Ouvres jail.local: 
nano /etc/fail2ban/jail.local
et passe le chiffre à au moins 3 sur "maxretry : 
[nginx-badbots]
enabled  = true
port  = http,https
filter = nginx-badbots
logpath = /var/log/nginx/*access.log
bantime = 86400
maxretry = 1
/etc/init.d/fail2ban restart
Ça devrait aller mieux après.
Ex.
11 jours plus tard
Magicalex wrote:Oui c'est ça, j'ai une regex en stock pour nginx pour ceux qui voudrons passer à nginx quand j'aurais fait le tuto.
Cette regex (mentionné ici) figure quelque part ? Si oui, j'apprécierais que quelqu'un m'indique où.

Dans le tutoriel, la config du fichier nginx-badbots.conf ne mentionne rien sur les CONNECT. J'ai consulté mes logs et cela revient assez fréquemment. Je me demande s'il ne faudrait pas les y inclurent ?
Je crois pas en avoir eu de "CONNECT" enfin ça me dis rien.
Faudrait voir une ligne complète de log, ça doit être possible d'ajouter ça.
Ex.
IP - - [Day/Month/Year:Hour:Minute:Second +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 400 166 "-" "-"
IP - - [Day/Month/Year:Hour:Minute:Second +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 400 166 "-" "-"
IP - - [Day/Month/Year:Hour:Minute:Second +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 400 166 "-" "-"
Voici quelques exemples, tu me dis si c'est pas suffisant
17 jours plus tard
Pour la Sécurisation SSH

Je suis obliger d'AllowUsers l'utilisateur de la seedbox car sinon j'ai pas accée au ftp.
Salut tu peux en dire plus ?
Installation à la mano du serveur ftp, si oui lequel, ou script automatique ?
Si tu as suivi le tuto sécu, ton utilisateur autorisé en console n'est pas un utilisateur de la seedbox, c'est bien ok ça?

Avec mon script, les users sont chrootés et le fichier de conf ssh est édité en conséquence, normalement pas besoin d'y toucher pour que ça marche (ftp & sftp + kick en console).
Si install' manuelle, faut voir
Ex.