• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

Je n'ai plus la réception de mails depuis aujourd'hui.
Pas de modification de la configuration.
Juste une mise à jour du serveur.
8 jours plus tard
Bonjour. j'ai suivit le tuto mais je ne reçois de mail dans ma boite mail ( c'est une adresse de type @gmail.com)
D’où pourrait venir le problème ?
un mois plus tard
Bonjour, j'ai fait le 
route del -host IP reject
par erreur ... (oublié de reboot après la premier commande) c'est grave ? sachant que mon IP est dynamique ?
un mois plus tard
top pour la sécurisation V3
J'aurai juste une petite question.
il serait possible de faire un peu comme les logs de connexion rutorrent de faire un logs pour les connexion FTP et de l'intégrer dans le seedbox-manager ?
sa me permettrai de savoir qui se connecte à mon ftp
Amicalement
kriss
Salut
Oui ça doit être faisable je pense, faut activer les logs en /etc/vsftpd.conf
modifier/ajouter: 
# Repertoire des logs.
vsftpd_log_file=/var/log/vsftpd.log
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
#
Penser à créer les fichiers de log à la main avant de restart vsftpd, je crois me souvenir qu'il ne les fait pas, à noter aussi que ça risque de te pourrir un peu le mail logwatch si tu l'as mis en place.

Reste à adapter le script de tuto en tapant sur /var/log/vsftpd.log pour les connexions ou xfer pour les transferts (enfin il me semble), rien de trop compliqué. Je te laisse faire par contre, pas assez en forme en ce moment pour jouer...
Ex.
15 jours plus tard
Bonsoir. Je viens de suivre la partit du tuto securisation qui traite de RKHunter.
Dans le log j'ai ceci : 
[21:28:13]   Checking /dev for suspicious file types         [ Warning ]
[21:28:13] Warning: Suspicious file types found in /dev:
[21:28:13]          /dev/shm/sem.9334581e-7251-4ef7-a8ec-5bfe8e89ff68: data
[21:28:13]          /dev/shm/7gbhujb54g8z9hu43jre8: data
et celà 
[21:28:04] Info: Starting test name 'os_specific'
[21:28:04] Performing Linux specific checks
[21:28:04]   Checking loaded kernel modules                  [ Warning ]
[21:28:04] Warning: The modules file '/proc/modules' is missing.
[21:28:04] Info: Using modules pathname of '/lib/modules'
[21:28:04]   Checking kernel module names                    [ Warning ]
[21:28:04] Warning: The kernel modules directory '/lib/modules' is missing or empty.
Dois-je m'inquiéter selon vous ?
bistouri wrote:Bonsoir. Je viens de suivre la partit du tuto securisation qui traite de RKHunter.
Dans le log j'ai ceci : 
[21:28:13]   Checking /dev for suspicious file types         [ Warning ]
[21:28:13] Warning: Suspicious file types found in /dev:
[21:28:13]          /dev/shm/sem.9334581e-7251-4ef7-a8ec-5bfe8e89ff68: data
[21:28:13]          /dev/shm/7gbhujb54g8z9hu43jre8: data
et celà 
[21:28:04] Info: Starting test name 'os_specific'
[21:28:04] Performing Linux specific checks
[21:28:04]   Checking loaded kernel modules                  [ Warning ]
[21:28:04] Warning: The modules file '/proc/modules' is missing.
[21:28:04] Info: Using modules pathname of '/lib/modules'
[21:28:04]   Checking kernel module names                    [ Warning ]
[21:28:04] Warning: The kernel modules directory '/lib/modules' is missing or empty.
Dois-je m'inquiéter selon vous ?
Salut,

Le premier semble dire que tu as un soucis. Aurais-tu mis des sources en plus et/ou installé selinux*?
Pour le second, il te dit juste que les chemins sont inexistants, et peut être occupé pour le second.
Salut
Tu aurais Plex sur le serveur ? Parce que le premier ça peut venir du transcodage d'après Google.
Mais j'ai jamais rien compris aux alertes RKHunter donc... ^^
Ex.
Tu as vu juste ex_rat, j'ai Plex d'installé. Je ne me rapelle pas avoir installé selinux. Je n'ai fais que suivre les tutos du forum qui traitent de teamspeak, la sécurisation et ruorrent (install auto). Pour plex j'ai bidouillé solo
Donc ça doit être ça, juste un faux positif, y'a pas à s'inquiéter.
Ex.
ex_rat wrote:Donc ça doit être ça, juste un faux positif, y'a pas à s'inquiéter.
Ex.
Ok. Merci pour vos réponses a tous.
16 jours plus tard
Bonjour,

J'ai installé rkhunter à l'instant pour vérifier qu'il n'y avait aucun problèmes.
Il me retourne différents messages d'alertes. Pourriez-vous m'indiquer si ce sont des faux positifs ?
[17:23:39]   /usr/bin/unhide.rb                              [ Warning ]
[17:23:39] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

[17:26:27] Performing Linux specific checks
[17:26:27]   Checking loaded kernel modules                  [ Warning ]
[17:26:28] Warning: The modules file '/proc/modules' is missing.
[17:26:28] Info: Using modules pathname of '/lib/modules'
[17:26:28]   Checking kernel module names                    [ Warning ]
[17:26:44]   Checking for hidden files and directories       [ Warning ]
[17:26:44] Warning: Hidden directory found: '/etc/.java'
Merci d'avance pour votre aide
Je te drai de les googler ?
Quelqu'un connait la liste des faux positifs de Rkhunter par coeur ici ?
Okey, en jetant un coup d'oeil sur Google, aucun de ses "avertissements" ne semble être de véritable menace. Il s'agit de faux positif qui peuvent être désactivé lors du scan pour éviter d'avoir à nouveau les messages.
Si pas à jour tu lances cette commande 
sudo rkhunter --propupd
Si tu veux juste les choses importantes tu lances ceci 
sudo rkhunter -c --rwo
16 jours plus tard
@ex_rat

Pourquoi ne pas améliorer le mail de connexion root ? On le reçoit tellement souvent, autant qu'il soit en français et un peu plus clair non ? 😛

Genre remplacer 
echo 'Acces Shell Root le ' `date` `who` | mail -s 'Connexion serveur via root' root
Par 
echo -e "Connexion root détectée le `LC_ALL=fr_FR.utf8 date +"%a %d %b %Y à %T"`\nUtilisateur (s) connecté(s):\n`who --ips|awk '{print $1,"via",$5}'`\n" | mail -s "Connexion root au serveur" root
Non ?

Edit: Ou même rajouter ça pour éviter de recevoir le mail quand on se logue en root depuis chez nous
last -in 1 | grep 'IPMAISON' &> /dev/null
if [ $? == 0 ]; then
:
else  echo -e "Connexion root détectée le `LC_ALL=fr_FR.utf8 date +"%a %d %b %Y à %T"`\nUtilisateur (s) connecté(s):\n`who --ips|awk '{print $1,"via",$5}'`\n" | mail -s "Connexion root au serveur" root
fi
en remplaçant IPMAISON par notre IP de chez nous ^^

Edit: Corrigé, ça devrait marcher comme il faut là
22 jours plus tard
J'ai installé le script auto d'Ex_rat, puis suivi le tuto de sécurisation, mais j'ai l'impression d'avoir un problème avec fail2ban sur le port ssh, voici une partie du rapport logwatch quotidien : 
 sshd:
    Authentication Failures:
       root (x.x.x.x): 778 Time(s)
Or l'ip concernée ne semble jamais avoir été bannie : pas de trace avec "iptables -L -n", aucun email reçu de la part de fail2ban (pourtant j'ai testé un ban d'authentification sur https et j'ai bien reçu le mail de f2b. J'attends qui ami soit dispo pour tester sur ssh).

J'avais changé le port ssh du serveur dans /etc/ssh/sshd_config, que j'avais également ajouté dans /etc/fail2ban/jail.local : 
[ssh]
enabled  = true
port     = ssh,NuméroDuNouveauPort
filter   = sshd
logpath  = /var/log/auth.log
banaction = iptables-multiport
maxretry = 5
Est ce que fail2ban ignore les tentatives de connexion en root, lorsque le root login n'est pas autorisé (/etc/ssh/sshd_config) ?

Est-ce que j'ai oublié quelque chose ?
Merci d'avance.
1) dans le jail.local, normalement tout y est preconfiguré sauf le port
2) pour un port 567 :il ne faut pas mettre 
ssh,567
mais juste 
567
Je ne vois pas comment f2b pourrait "voir" les tentatives de connexions root puisque quels sont impossibles. Mait tu peut peut etre les voir dans /var/log/auth.log