• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

Iptables et portsentry apportent une sécurité en plus de ta box.
Le firewall de box n'est pas le "must-have", que tu dois posséder. L preuve en est, tu peux chopper des "virus" malgré cette protection-ci.

Iptables bloquera les tentatives rentrantes, portsentry autre chose.

What else?
Portsentry configuré en atcp et audp détecte les ports utilisés et du coup les ignore. Il est donc sensé surveiller tous les autres ports. Hors en ce qui me concerne il ne détecte plus aucun scan, ce qui me laissait à penser que derrière la box il devient moins utile

Quand à fail2ban, depuis que j'ai securisé ssh ne me detecte plus aucune tentatives dintrusion
Les tentatives bloquées par fail2ban se font en priorité sur le port 22, qui est port par défaut.
Mais imagine, tu enlèves fail2ban, et que l'on trouve ton port, tu fais quoi? Car tu n'es pas la à scruter h-24 7/7 les logs je pense ^^

Même si à l'heure d'aujourd'hui, tu n'as rien, ce n'est pas pour autant que demain tu ne pourrais pas, avoir des tentatives.
Je n'ai plus la réception de mails depuis aujourd'hui.
Pas de modification de la configuration.
Juste une mise à jour du serveur.
8 jours plus tard
Bonjour. j'ai suivit le tuto mais je ne reçois de mail dans ma boite mail ( c'est une adresse de type @gmail.com)
D’où pourrait venir le problème ?
un mois plus tard
Bonjour, j'ai fait le 
route del -host IP reject
par erreur ... (oublié de reboot après la premier commande) c'est grave ? sachant que mon IP est dynamique ?
un mois plus tard
top pour la sécurisation V3
J'aurai juste une petite question.
il serait possible de faire un peu comme les logs de connexion rutorrent de faire un logs pour les connexion FTP et de l'intégrer dans le seedbox-manager ?
sa me permettrai de savoir qui se connecte à mon ftp
Amicalement
kriss
Salut
Oui ça doit être faisable je pense, faut activer les logs en /etc/vsftpd.conf
modifier/ajouter: 
# Repertoire des logs.
vsftpd_log_file=/var/log/vsftpd.log
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
#
Penser à créer les fichiers de log à la main avant de restart vsftpd, je crois me souvenir qu'il ne les fait pas, à noter aussi que ça risque de te pourrir un peu le mail logwatch si tu l'as mis en place.

Reste à adapter le script de tuto en tapant sur /var/log/vsftpd.log pour les connexions ou xfer pour les transferts (enfin il me semble), rien de trop compliqué. Je te laisse faire par contre, pas assez en forme en ce moment pour jouer...
Ex.
15 jours plus tard
Bonsoir. Je viens de suivre la partit du tuto securisation qui traite de RKHunter.
Dans le log j'ai ceci : 
[21:28:13]   Checking /dev for suspicious file types         [ Warning ]
[21:28:13] Warning: Suspicious file types found in /dev:
[21:28:13]          /dev/shm/sem.9334581e-7251-4ef7-a8ec-5bfe8e89ff68: data
[21:28:13]          /dev/shm/7gbhujb54g8z9hu43jre8: data
et celà 
[21:28:04] Info: Starting test name 'os_specific'
[21:28:04] Performing Linux specific checks
[21:28:04]   Checking loaded kernel modules                  [ Warning ]
[21:28:04] Warning: The modules file '/proc/modules' is missing.
[21:28:04] Info: Using modules pathname of '/lib/modules'
[21:28:04]   Checking kernel module names                    [ Warning ]
[21:28:04] Warning: The kernel modules directory '/lib/modules' is missing or empty.
Dois-je m'inquiéter selon vous ?
bistouri wrote:Bonsoir. Je viens de suivre la partit du tuto securisation qui traite de RKHunter.
Dans le log j'ai ceci : 
[21:28:13]   Checking /dev for suspicious file types         [ Warning ]
[21:28:13] Warning: Suspicious file types found in /dev:
[21:28:13]          /dev/shm/sem.9334581e-7251-4ef7-a8ec-5bfe8e89ff68: data
[21:28:13]          /dev/shm/7gbhujb54g8z9hu43jre8: data
et celà 
[21:28:04] Info: Starting test name 'os_specific'
[21:28:04] Performing Linux specific checks
[21:28:04]   Checking loaded kernel modules                  [ Warning ]
[21:28:04] Warning: The modules file '/proc/modules' is missing.
[21:28:04] Info: Using modules pathname of '/lib/modules'
[21:28:04]   Checking kernel module names                    [ Warning ]
[21:28:04] Warning: The kernel modules directory '/lib/modules' is missing or empty.
Dois-je m'inquiéter selon vous ?
Salut,

Le premier semble dire que tu as un soucis. Aurais-tu mis des sources en plus et/ou installé selinux*?
Pour le second, il te dit juste que les chemins sont inexistants, et peut être occupé pour le second.
Salut
Tu aurais Plex sur le serveur ? Parce que le premier ça peut venir du transcodage d'après Google.
Mais j'ai jamais rien compris aux alertes RKHunter donc... ^^
Ex.
Tu as vu juste ex_rat, j'ai Plex d'installé. Je ne me rapelle pas avoir installé selinux. Je n'ai fais que suivre les tutos du forum qui traitent de teamspeak, la sécurisation et ruorrent (install auto). Pour plex j'ai bidouillé solo
Donc ça doit être ça, juste un faux positif, y'a pas à s'inquiéter.
Ex.
ex_rat wrote:Donc ça doit être ça, juste un faux positif, y'a pas à s'inquiéter.
Ex.
Ok. Merci pour vos réponses a tous.
16 jours plus tard
Bonjour,

J'ai installé rkhunter à l'instant pour vérifier qu'il n'y avait aucun problèmes.
Il me retourne différents messages d'alertes. Pourriez-vous m'indiquer si ce sont des faux positifs ?
[17:23:39]   /usr/bin/unhide.rb                              [ Warning ]
[17:23:39] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

[17:26:27] Performing Linux specific checks
[17:26:27]   Checking loaded kernel modules                  [ Warning ]
[17:26:28] Warning: The modules file '/proc/modules' is missing.
[17:26:28] Info: Using modules pathname of '/lib/modules'
[17:26:28]   Checking kernel module names                    [ Warning ]
[17:26:44]   Checking for hidden files and directories       [ Warning ]
[17:26:44] Warning: Hidden directory found: '/etc/.java'
Merci d'avance pour votre aide
Je te drai de les googler ?
Quelqu'un connait la liste des faux positifs de Rkhunter par coeur ici ?
Okey, en jetant un coup d'oeil sur Google, aucun de ses "avertissements" ne semble être de véritable menace. Il s'agit de faux positif qui peuvent être désactivé lors du scan pour éviter d'avoir à nouveau les messages.
Si pas à jour tu lances cette commande 
sudo rkhunter --propupd
Si tu veux juste les choses importantes tu lances ceci 
sudo rkhunter -c --rwo