• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

Bonjour tout le monde,

Premièrement merci beaucoup pour ce tutos et les nombreux autres qui m'ont appris beaucoup sur la gestion de mon serveur dédié.

Je vous expose mon problème en me doutant bien que malheureusement l'issue risque de ne pas me plaire 🙁
j'ai réalisé en début de semaine ces différentes choses :
- Serveur mail
- Logwatch
- Fail2ban
Ces services fonctionnent parfaitement depuis lundi et je me suis gardé la partie plus délicate pour ce week-end, la sécu SSH...
J'ai fais le bouffon, j'ai fermé ma console par "réflexe"..
Mais je pensais quand même pouvoir me reconnecter, je vous explique.
J'ai dans un premier temps laissé ceci :

PermitRootLogin yes

Et j'ai simplement ajouté

AllowUsers mon_user

Pour le tester "sans prendre de risques" dans un premier temps, visiblement j'ai mal évalué la part de risques car je n'arrive plus à me connecter d'une quelconque manière 🙁

Mon seul accès est avec WinSCP mais pas en root, donc je ne peux pas remonter en /.
Ai-je une chance de résoudre ce problème?
Peut être depuis l'interface Kimsufi?..

Merci d'avance

Salut,

Aucun problème 🙂 Reboot en mode rescue, tu montes ta partition, te chmod dedans et tu peux éditer ton ssh_config 😉
(pour le rescue cf FAQs OVH)

Oui en effet
J'avoue que j'ai paniqué un peu avant de me lancer des des recherches pour résoudre mon problème xD
Je pensais pas qu'une telle solution existait, pour moi j'étais foutu
Mais du coup tout s'est déroulé parfaitement, j'ai récupéré mes accès 😉

Et pour la petite histoire!
Ce qui c'est passé c'est qu'avec le script d'installation rutorrent & seedbox-manager mes users sont dans le chroot, donc se font jeter a chaque fois, c'était pas malin de ma part d'autoriser cet user dans le sshd.
Par contre pourquoi je n'avais plus accès en root aucune idée, si quelqu'un le sait ça m'intéresse. 🙂

Sur ceux merci encore à la communauté qui m'apprend beaucoup tout les jours depuis deux semaines

Bonjour, j'ai fait se tuto aprés avoir fait l'installation automatique de ex_rat. Tout fonctionne bien sauf l'envoi de mail à partir du moment où je mes un alias je ne reçois pas de mail.

7 jours plus tard

Bonsoir,

J'ai un petit soucis lorsque je souhaite mettre à jour mon serveur. Suite à la commande :

apt-get update && apt-get upgrade

J'ai cette erreur :

Les paquets suivants seront mis à jour :
  nginx
1 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 0 o/739 ko dans les archives.
Après cette opération, 2 572 ko d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer ? [O/n] o
(Lecture de la base de données... 49696 fichiers et répertoires déjà installés.)
Préparation du dépaquetage de .../nginx_1.10.3-1~jessie_amd64.deb ...
Dépaquetage de nginx (1.10.3-1~jessie) sur (1.10.2-2~dotdeb+8.2) ...
dpkg: erreur de traitement de l'archive /var/cache/apt/archives/nginx_1.10.3-1~jessie_amd64.deb (--unpack) :
 tentative de remplacement de « /etc/default/nginx », qui appartient aussi au paquet nginx-common 1.10.2-2~dotdeb+8.2
dpkg-deb : erreur : le sous-processus coller a été tué par le signal (Relais brisé (pipe))
Des erreurs ont été rencontrées pendant l'exécution :
 /var/cache/apt/archives/nginx_1.10.3-1~jessie_amd64.deb
[ Rootkit Hunter version 1.4.2 ]
File updated: searched for 174 files, found 136
E: Sub-process /usr/bin/dpkg returned an error code (1)

Est ce que quelqu'un pourrait m'aider à réparer ?

Merci d'avance.

Bonsoir,

je voudrais savoir @Gaume d'où provient Nginx ? Quel dépôt ? Les 2 ? Il n'y aurait pas un (ou des) doublon(s) ? Je fais référence aux divers fichiers présent dans le répertoire apt (dont notamment le fichier sources.list).
Grosso modo, disons qu'il vaut mieux se servir d'un unique dépôt (soit Nginx, soit Dotdeb) avec Debian. Autrement, cela risque de créer des soucis (comme celui-ci)...

ls -all /etc/apt;
nano /etc/apt/sources.list; 
ls -all /etc/apt/apt.conf.d;

En tout cas, je n'ai eu aucun souci avec cette mise à jour que je viens d'effectué (à l'instant et ce via la commande apt).

PS : Néanmoins, cela n'aurait pas été un peu plus judicieux de créer une nouvelle discussion, non ? Flarum dispose de cette fonctionnalité ? Je l'ignore...
Du coup, merci @Ti-Gars car désormais elle existe (n°9108). Donc, je résume, il semblerait que cette fois cela suffira de le réinstaller et ce en ayant juste au préalable supprimer (déinstaller) le paquet nginx-common (mais le lendemain ce fut au tour de nginx).

Dotdeb wrote:

Dotdeb won’t provide any package of PHP 7.1 and later [...]
I’ll keep publishing updates of PHP 5.6 for Wheezy and PHP 7.0 for Jessie as long [...]
other Dotdeb packages are unaffected by this decision [...]

NB : Je viens de l'apprendre (via cette page). Ainsi, pour le remplacer, il aurait notamment : "deb.sury.org" via lequel on retrouve(ra) des paquets (dont notamment php_v7.1) également pour d'autres architectures (dont l'armhf et l'arm64).

7 jours plus tard

Salutations à tous !

Je me permets de vous déranger un petit peu pour solliciter votre aide...
Tout fonctionne apparemment, même la sécurisation, c'est vous dire si un noob comme moi s'en sort bien 🙂

Cependant, je trouve étrange que les mails de logs provenant de LogWatch soient entièrement vierges... je n'ai qu'une simple barre horizontale et c'est tout ! Je ne sais pas d'où ça vient, et c'est comme ça depuis le début que j'ai installé la box. Mais au départ je ne m'en étais pas soucié plus que ça, car la box n'était pas encore clairement active. Donc pour moi c'était normal. Mais aujourd'hui, elle tourne et ronronne comme un charme, et je trouve dommage de ne pas avoir plus d'infos par mail. Je souhaiterais donc savoir d'où ça peut provenir.

J'aurais aussi une requête : j'aimerais savoir comment faire pour m'envoyer un mail des logs concernant les diverses informations que l'on peut avoir sur la page "http://ip_server/rutorrent/logserver/access.html" ?
Je voudrais le recevoir à chaque génération de la nouvelle page. Est-ce possible ?

Et pour finir, m'en fous si je suis en retard, mais je vous transmets tous mes bons sentiments pour cette année 2017 ! Voilà... ça c'est fait

Merci à celles et ceux qui m'apporteront leurs lumières !

Au plaisir,

V77

Salut
Alors pour le mail "access.html" c'est possible
Tu installes mutt, c'est plus pratique de le recevoir un pièce jointe sinon ça va être imbuvable:
apt-get install mutt
tu édites le script log-server:
nano /usr/share/scripts-perso/logserver.sh
et tu colles à la fin en changeant ton mail au bout:
echo "Log nginx" | mutt -s "Log nginx" -a /var/www/rutorrent/logserver/access.html -- ton-email
tu peux tester en lançant le script à la main:
sh /usr/share/scripts-perso/logserver.sh
ceci dit tu vas recevoir un mail toutes les 2 heures, ça risque de te lasser assez vite mais c'est toi qui voit ^^


Pour logwatch, à part revérifier que les fichiers sont bien en place et bien édité je vois pas trop ce qui peut coincer.
Reprends le tuto, t'as du louper un truc.
Ex.

    Bonsoir,

    Je me permet de copier le message de Icedarts qui est semble t-il passé inaperçu alors que j'ai à peu de chose près la même question que lui :

    "Encore moi

    Alors ce soir j'ai voulu importer un dossier dans var/www/ en utilisant filezilla.
    Les logs root ne fonctionnent pas vu qu'on a interdit de se connecter avec.
    Je prends donc les logs qu'on a créé dans le tuto mais la je n'ai pas la permission d'importer le dossier.

    Y a-t-il une solution?

    Merci d'avance."

    Dans mon cas, via Bitvise, j'aimerai pouvoir utiliser le navigateur SFTP pour uploader des fichiers de conf sur le serveur mais impossible via mon compte sécurisé.

    Salut,

    Faudrait vous trouver un client FTP qui peut gérer cette commande une fois connecté en sFTP. Car en effet vous ne pourrez pas agir sur les fichiers qui ne vous appartiennent pas. Sinon voir à passer par SCP.

    ex_rat Salut ex-rat, et merci pour ton retour !

    Je vais tester mutt dès que je peux. Ma priorité étant de faire fonctionner LogWatch... j'ai pourtant repris le tuto en question, en reprenant la partie "LogWatch" et tout est bon... je pige pas pourquoi je n'ai qu'une simple ligne en guise de contenu de mail... c'est étrange ça pourtant :-/

    Si jamais t'as d'autres pistes, je suis prêt à tester 🙂

    De mon côté je parcours le web, pour glaner des infos

    ++

    V77

      un mois plus tard

      hello, désolé si ma question est stupide, mais j'applique ce tuto de suite après une nouvelle install de mon serveur ou quand tout ce dont j'ai besoin a d'abord été installé (rutorrent,emby...etc) ou cela n'a pas d'importance? Merci

      Hello,

      commence par celui qui te semble le plus simple @allan84. Parce que l'ordre n'est pas important, on peut les appliquer ensemble ou l'un après l'autre.
      Disons que le mieux, c'est le plutôt possible. Néanmoins, je dirais de suite lorsque la sécurité a une très très grande importance.

      un mois plus tard

      Hello,
      Est-ce qu'il est possible, avec fail2ban, de bannir non pas une ip mais directement un domaine.
      Non parce que dans mes logs, un seul revient, c'est yandex.ru et j'aimerai bien le bloquer définitivement.
      Merci 😉

        fana Pour info yandex.ru c'est le google russe, du coup es-tu sûr de vouloir le bannir ?
        C'est du crawler classique à la google/baidu/bing et non pas du script-kiddies.

          Merci, je ne savais ce que c'était en fait 😉
          Mais ouep aucun intérêt que ça scanne mon serveur, ça m'affinera mes logs.

            22 jours plus tard

            Vous savez si on peut écrire ailleurs le log de portsentry ? J'aimerais que cela ne se fasse pas dans syslog.

            Merci o/

            4 mois plus tard

            Bonjour,
            je viens d'utiliser le tuto de sécurisation V3 sur un nouveau dédié en debian 9 et tout s'est bien passé, merci pour ce tuto d'ailleurs.
            En revanche dans les mails quotidiens de Logwatch j'ai 3 warnings dans la rubrique fail2ban :
            WARNINGS
            Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',): 288 Time(s)
            Command ['status', '-'] has failed. Received UnknownJailException('-',): 288 Time(s)
            Command ['status', 'list:'] has failed. Received UnknownJailException('list:',): 288 Time(s)
            Quelqu'un aurait-il une piste ?

            fail2ban-client --version;
fail2ban-client -t;
fail2ban-client status;
## Pour en savoir plus, il faudra reprendre cet exemple.
## En effet, il faut remplacer la fin de cette ligne (par le nom exacte) :
fail2ban-client status ssh;
## La commande précédente (status) devrait indiquer le nom de chacune des jails.
cat /etc/fail2ban/jail.local;
## Dès fois, il n'y a rien de tel qu'un redémarrage :
fail2ban-client stop;
fail2ban-client start;

            Bonsoir,

            voici une liste des commandes @otello86 qui devrait en donner.