• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

Bon j'ai test sur une VM toute fraiche avec bonobox installé.
On a le soucis de la version de fail2ban (0.9.x) installé via les dépôts et le script bonobox avec les lignes revenant toutes les 3min. (Voir mes comms plus haut)
J'ai donc effectué la manip suivante (désinstall de la version des depots et install de la dernière version via github) :

 # apt remove --purge fail2ban
# rm -rf /etc/fail2ban
# apt install python python-dnspython python-pyinotify gamin 
 # cd /usr/local/
# git clone https://github.com/fail2ban/fail2ban.git
 # cd fail2ban
# python setup.py install

Et c'est la ou je n'ai pas suivi le tuto de 404 (https://wiki.debian-fr.xyz/Fail2ban_v0.11.x_avec_support_IPv6_sur_Debian_Stretch), j'ai suivi la documentation sur le github:

Automatisation lancement:

Please note that the system init/service script is not automatically installed. To enable fail2ban as an automatic service, simply copy the script for your distro from the files directory to /etc/init.d. Example (on a Debian-based system):

cp files/debian-initd /etc/init.d/fail2ban
update-rc.d fail2ban defaults
service fail2ban start

--> Et la la commande service fail2ban fonctionne nickel 🙂

  • Donc j'en déduit que les commandes suivantes du tuto foutent la merde : 
    systemctl enable fail2ban.service
   fail2ban.service is not a native service, redirecting to systemd-sysv-install.
   Executing: /lib/systemd/systemd-sysv-install enable fail2ban
# systemctl daemon-reload
    Je n'ai pas chercher à debug Fail2ban installé par le script de EX mais il est bon de savoir qu'il y a un petit souci (surement une connerie...)

Plus qu'à réinstaller proprement mon serveur.
En espérant que ça serve à d'autres.

22 jours plus tard

Bonjour,

Je pose ça ici car ça m'a fait perdre bcp de temps.

Je me suis fait ban par portcentry, via la directive:
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"

donc j'ai lancé la commande:
route del <mon_ip_bannie> reject

Au cas où si cela sert à quelqu'un 🙂

2 mois plus tard

bonjour,

depuis que j'ai fais le tuto j'ai un problème qui m'arrive tous les deux jours ça fait trois fois que ça m'arrive. déjà je reçoit plusieurs mail d'erreur de cron avec comme sujet : Cron <munin@kim> if [ -x /usr/bin/munin-cron ]; then /usr/bin/munin-cron; fi

voilà le log que je reçoit :
Can't load '/usr/lib/x86_64-linux-gnu/perl/5.24/auto/Fcntl/Fcntl.so' for module Fcntl: /usr/lib/x86_64-linux-gnu/perl/5.24/auto/Fcntl/Fcntl.so: échec d'adressage (mapping) du segment de l'objet partagé at /usr/share/perl/5.24/XSLoader.pm line 96.
� at /usr/lib/x86_64-linux-gnu/perl/5.24/Fcntl.pm line 11.
Compilation failed in require at /usr/share/perl5/Munin/Master/Utils.pm line 12.
BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Utils.pm line 12.
Compilation failed in require at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 18.
BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 18.
Compilation failed in require at /usr/share/perl5/Munin/Master/Update.pm line 17.
BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Update.pm line 17.
Compilation failed in require at /usr/share/munin/munin-update line 14.
BEGIN failed--compilation aborted at /usr/share/munin/munin-update line 14.

ou encore :
Forking worker failed: Cannot allocate memory at /usr/share/perl5/Munin/Master/Update.pm line 162.

et pour finir le dernier type :
Can't load '/usr/lib/x86_64-linux-gnu/perl5/5.24/auto/Socket6/Socket6.so' for module Socket6: /usr/lib/x86_64-linux-gnu/perl5/5.24/auto/Socket6/Socket6.so: échec d'adressage (mapping) du segment de l'objet partagé at /usr/lib/x86_64-linux-gnu/perl/5.24/DynaLoader.pm line 187.
� at /usr/share/perl5/IO/Socket/INET6.pm line 40.
Compilation failed in require at /usr/share/perl5/IO/Socket/INET6.pm line 40.
BEGIN failed--compilation aborted at /usr/share/perl5/IO/Socket/INET6.pm line 40.
Compilation failed in require at /usr/share/perl5/Munin/Master/Node.pm line 18.
BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Node.pm line 18.
Compilation failed in require at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 17.
BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 17.
Compilation failed in require at /usr/share/perl5/Munin/Master/Update.pm line 17.
BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Update.pm line 17.
Compilation failed in require at /usr/share/munin/munin-update line 14.
BEGIN failed--compilation aborted at /usr/share/munin/munin-update line 14.

quand ça m'arrive je ne peux plus accéder à mon serveur je suis obliger de le redémarrer par le manager pour pouvoir y accéder. Si vous avez une piste merci d'avance

4 jours plus tard

Bonjour,

On dirait que tu as un probleme de memoire.
Si tu as un outil de monitoring, ca pourrait etre interessant d'y jeter un oeil pendant la tache cron

Effectivement ma mémoireet le cpu sont à 100% quand cron fait bug le serveur

A priori ton serveur crash à cause du manque de mémoire.
Soit ton serveur n'a pas assez de mémoire pour faire tourner tes programmes courants plus la tâche Cron, soit tu as une fuite mémoire quelque part

19 jours plus tard

Salut : )
Pour cette partie au début du tuto

ex_rat
On va mettre en place un mail lors des connexions ssh root, vous recevrez ainsi un mail à chaque connexion sur le compte.

nano /root/.bashrc

Ajouter à la fin :

echo 'Acces Shell Root le ' date who | mail -s 'Connexion serveur via root' root

c'est facilement évitable de charger le bashrc su - ou en ssh
ssh user@host "bash --noprofile --norc"

J'me pose la question si il y aurait pas moyen de mettre l'envoie du mail plus en amont dans l'ordre de chargement des fichiers .profile > .bashrc ?

Sans tout casser ! Je pense pas que forcer bash/zsh dans /etc/shells soit une bonne idée.

vous avez des suggestions ? 😃

    6 mois plus tard

    Bonjour!

    Tout d'abord un grand merci pour ce tuto qui m'a permit d'arriver jusqu'au bout! (Oui oui 😃)

    J'ai rencontré plusieurs difficultés tout de même qui me tracasse!

    1) Lorsque j'ajoute dans mon /root/.bashrc la ligne suivante:

    echo 'Acces Shell Root le ' date who | mail -s 'Connexion serveur via root' root

    Je n'arrive plus à faire quoique ce soit (adduser ou un restart) en cherchant sur internet j'ai trouvé qu'il fallait rajouter une ligne dans le .bashrc:

    export PATH="$HOME/bin:/usr/local/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/bin:/bin:/usr/local/games:/usr/games"

    Et ensuite ça refonctionne. Sauf que je ne comprends absolument pas pourquoi. Tout tourné très bien avant que je modifie le .bashrc... Une idée?

    2) Quand j'accède à la page de mon serveur (WebUI ruTorrent, installé avec le tuto "debian 10 + nginx") je suis en connexion non sécurisée depuis que j'ai suivi ce tuto. Dans l'onglet "Sécurité" de Mozilla j'ai:

    Détails techniques Connexion non chiffrée, le site web ADRESSEIP ne prend pas en charge le chiffrement pour la page actuelle affichée.

    C'est normal?

    Si quelqu'un peut m'aider un peu?

    Merci 😁

    Euh tu as mis un nom de domaine et un certificat Let's Encrypt ? pour le bash ça fait parti des mystère de Debian10

      MattProd Je n'ai pas de nom de domaine et pas fait de certificat Let's Encrypt non plus, du coup je pense que j'ai la réponse à ma question: C'est normal puisque j'ai pas fait le nécessaire 😃!
      C'est pas grave en soit de pas être en connexion sécurisée ou c'est problématique?

      Pour parfait pour le .bash pour une fois s'pas ma faute 😛

      Merci à toi 🙂

          ChevreForeuseNWA si tu fait un certificat autosigné ca chiffrera quand meme ta connexion mais ton navigateur ne le reconnaitra pas en tant que telle c'est tout ... apres c'est juste pour faire propre 😉

          [EDIT] Je peut te fournir un sous domaine si besoin. Exemple : chevreforeuse.m@tdesign-prod.com

            Répondre…