Discussion Pour le tuto Sécurisation & Logs V3 : https://mondedie.fr/d/5318-Tuto-Securisation-Logs-V-3-nginx

Un GRAND merci ex_rat Version 2.0 du tuto presque parfaite. J'aurai une question sur la sécurisation SSH, lorsque que on a bloqué le login root et autorise un user perso créé, Il y a un moyen de pouvoir avoir les droits root sur filezilla en sftp avec l'user perso ?

Non. Pour avoir les droits root c'est soit utiliser sudo (pas possible avec filezilla) soit changer l'uid = 0 ce qui revient à renommer le user root en autre chose.

Merci beaucoup pour ce tuto très clair ! Je débute avec mon dédié Kimsufi et j'ai pu tout paramétrer sans problème, beau boulot.

Merci Par contre y'a un os, pas trop embêtant parce que ça risque pas grand chose mais quand même... Je m'étais jamais trop penché sur fail2ban mais la config' pour lighttpd qu'on retrouve sur tout les tuto qui trainent marche pas vraiment. Les 3 fichiers de conf "apache-truc" qu'on utilise en /etc/fail2ban/filter.d/ ne voient rien passer. C'est pour ça qu'on ramasse des bots "myphpadmin" en rafale entre autre. Pareil pour les tentatives d'identification à la porte de rutorrent, ça ban quedale Je teste quelques trucs... Pour l'identification j'ai ça déjà qui marche pas mal même si ça ne ban que si le guignol utilise un pseudo existant sur la box (pas trouvé pour un "toto" mais c'est moins gênant) On édite : nano /etc/fail2ban/filter.d/apache-auth.conf On efface tout et on colle à la place : # Fail2Ban configuration file # for lighttpd htdigest [Definition] # Option: failregex # Notes.: regex to match the password failure messages in the logfile. # Values: TEXT failregex = .*http_auth.*wrong password.*IP: <HOST>\s*$ .*http_auth.*password doesn\'t match.*IP: <HOST>\s*$ # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT ignoreregex = Et on relance fail2ban : /etc/init.d/fail2ban restart J'ai testé c'est ok, je viens de bannir ma mère au bout de 3 tentatives. "Mais t'es sur que je vais pas avoir d'ennuis ?!?" 🙂) J'ai un truc aussi pour les bots phpmyadmin mais j'attends d'avoir plus de retour sur mon test, je manque de pénibles sur le serveur pour l'instant. Votre avis sur la question m’intéresse grandement et si vous pouvez confirmer... Et pas facile "regex" au passage. Ex.

Oui c'est ça, j'ai une regex en stock pour nginx pour ceux qui voudrons passer à nginx quand j'aurais fait le tuto.

Ok je ferais la mise à jour un peu plus tard avec des règles propres. On suit des trucs sans les comprendre et on fait pornawak, c'est malheureux Edit: J'ai corrigé la partie Fail2Ban / Lighttpd avec ajout d'un filtre anti-script, ça marche pas mal du tout Ajout dans la règle anti script de fail2ban d'une ligne anti wootwoot qui marche pas mal du tout.

Bonjour et merci a ex_rat pour ce tuto. Tous c'est parfaitement dérouler, par contre je n'ai pas encore osé toucher la partie sécurité ssh.Du coup j'ai aussi sauté l’étape portsentry. De toute façon je me suis aperçu que dans les mails reçus par fail2ban la plupart des tentatives ont été effectuées sur des ports autre que le 22. J'ai juste 2, 3 questions: - Sur la partie "postfix" pour rediriger les mails vers root a quoi sert pour appliquer les changements `newaliases` Moi j'ai fait `/etc/aliases` modifier en `/etc/newaliases`.Au début j'avais créé un newaliases dans aliases mais cela ne me retourner aucun mail. - Dans la partie "logwatch", on edit le fichier `/usr/share/logwatch/default.conf/logfiles/lighttpd.conf` et on modifie les valeurs. J'ai supprimé la totalité des lignes et j'ai copié les lignes du tuto `LogFile = lighttpd/*access_log......ect` - Et pour finir sur la partie fail2ban mais je crois que du coup c'est bon puisque je reçois les logs par mail sur la création des deux filtres pour Lighttpd.Dans les fichiers, on remplace *HOST* par rien ? Merci.

Salut - Pour ta question sur logwatch, il y a juste l'adresse mail à modifier, le reste des commandes se tape tel quel sans rien changer: nano /etc/aliases Et rajouter à la fin : root: ton_mail@mail.com Tu enregistres la modif' : (ctrl X... Y...) Et après seulement, quand t'es "revenu" sur ta console tu tapes pour valider les changements : newaliases - Pour ta question sur HOST, on laisse comme ça dans les règles sans rien modifier. Par contre, ne fait pas l'impasse sur la sécu SSH, c'est le plus important avec fail2ban, et penses après a modifier le port surveillé par fail2ban pour qu'il fasse son boulot Bon courage Ex.

Salut , je doit bien avoir tous fait car je reçois parfaitement tous les mails. C'est aussi ok pour la partie SSH. Par contre comment supprimer quelques lignes dans le logserver ? Tu compte faire une partie pour AWStats ? ça permet bien de vérifier toutes les adresses ip banni sur le serveur? sudo nano checklist_ban Merci.

Pour AWStats il y avait ça dans l'ancien post sécurité qui est un peu plus bas sur la première page. Mais d'après les commentaires il y avait des soucis donc j'ai pas remis au propre, si quelqu’un a un tuto 100% fonctionnel, qu'il hésite pas Logserver, y'a une rotation du log sur 7 jours, c'est vrai qu'en fin de semaine le fichier est un peu lourd mais c'est pas trop gênant, j'ai pas soluce pour faire plus light mais si quelqu’un a ça et veut faire évoluer le truc avec un script ou autre idée, il est le bienvenue.... Fail2ban utilise Iptables, d'après la faq pour voir les ban en cours: `iptables -L` Pour un log plus parlant voir ici en bas de page: FAQ Fail2ban , faut ajouter des trucs dans les actions de jail.local Après y'a toujours moyen de voir les dernières entrées et suivre ça en live dans fail2ban.log quand y'a rien à la tv : tail -f -n 50 /var/log/fail2ban.log | ccze (toujours avec des jolies couleurs, parce que j'aime bien ! ) Ex.

[Discussion] : Sécurisation & Logs {nginx} {lighttpd} : Page 22

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] : Sécurisation & Logs {nginx} {lighttpd}

setsuneh

Iptables et portsentry apportent une sécurité en plus de ta box.
Le firewall de box n'est pas le "must-have", que tu dois posséder. L preuve en est, tu peux chopper des "virus" malgré cette protection-ci.

Iptables bloquera les tentatives rentrantes, portsentry autre chose.

What else?

laster13

Portsentry configuré en atcp et audp détecte les ports utilisés et du coup les ignore. Il est donc sensé surveiller tous les autres ports. Hors en ce qui me concerne il ne détecte plus aucun scan, ce qui me laissait à penser que derrière la box il devient moins utile

Quand à fail2ban, depuis que j'ai securisé ssh ne me detecte plus aucune tentatives dintrusion

setsuneh

Les tentatives bloquées par fail2ban se font en priorité sur le port 22, qui est port par défaut.
Mais imagine, tu enlèves fail2ban, et que l'on trouve ton port, tu fais quoi? Car tu n'es pas la à scruter h-24 7/7 les logs je pense ^^

Même si à l'heure d'aujourd'hui, tu n'as rien, ce n'est pas pour autant que demain tu ne pourrais pas, avoir des tentatives.

laster13

Merci pour tes explications

spectre

Je n'ai plus la réception de mails depuis aujourd'hui.
Pas de modification de la configuration.
Juste une mise à jour du serveur.

bistouri

Bonjour. j'ai suivit le tuto mais je ne reçois de mail dans ma boite mail ( c'est une adresse de type @gmail.com)
D’où pourrait venir le problème ?

Taguy

Bonjour, j'ai fait le

route del -host IP reject

par erreur ... (oublié de reboot après la premier commande) c'est grave ? sachant que mon IP est dynamique ?

kris06800

top pour la sécurisation V3
J'aurai juste une petite question.
il serait possible de faire un peu comme les logs de connexion rutorrent de faire un logs pour les connexion FTP et de l'intégrer dans le seedbox-manager ?
sa me permettrai de savoir qui se connecte à mon ftp
Amicalement
kriss

ex_rat

Salut
Oui ça doit être faisable je pense, faut activer les logs en /etc/vsftpd.conf
modifier/ajouter:

# Repertoire des logs.
vsftpd_log_file=/var/log/vsftpd.log
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
#

Penser à créer les fichiers de log à la main avant de restart vsftpd, je crois me souvenir qu'il ne les fait pas, à noter aussi que ça risque de te pourrir un peu le mail logwatch si tu l'as mis en place.

Reste à adapter le script de tuto en tapant sur /var/log/vsftpd.log pour les connexions ou xfer pour les transferts (enfin il me semble), rien de trop compliqué. Je te laisse faire par contre, pas assez en forme en ce moment pour jouer...

Ex.

kris06800

merci Ex je vais tester ça

bistouri

Bonsoir. Je viens de suivre la partit du tuto securisation qui traite de RKHunter.
Dans le log j'ai ceci :

[21:28:13]   Checking /dev for suspicious file types         [ Warning ]
[21:28:13] Warning: Suspicious file types found in /dev:
[21:28:13]          /dev/shm/sem.9334581e-7251-4ef7-a8ec-5bfe8e89ff68: data
[21:28:13]          /dev/shm/7gbhujb54g8z9hu43jre8: data

et celà

[21:28:04] Info: Starting test name 'os_specific'
[21:28:04] Performing Linux specific checks
[21:28:04]   Checking loaded kernel modules                  [ Warning ]
[21:28:04] Warning: The modules file '/proc/modules' is missing.
[21:28:04] Info: Using modules pathname of '/lib/modules'
[21:28:04]   Checking kernel module names                    [ Warning ]
[21:28:04] Warning: The kernel modules directory '/lib/modules' is missing or empty.

Dois-je m'inquiéter selon vous ?

setsuneh

bistouri wrote:Bonsoir. Je viens de suivre la partit du tuto securisation qui traite de RKHunter.
Dans le log j'ai ceci :

[21:28:13]   Checking /dev for suspicious file types         [ Warning ]
[21:28:13] Warning: Suspicious file types found in /dev:
[21:28:13]          /dev/shm/sem.9334581e-7251-4ef7-a8ec-5bfe8e89ff68: data
[21:28:13]          /dev/shm/7gbhujb54g8z9hu43jre8: data

et celà

[21:28:04] Info: Starting test name 'os_specific'
[21:28:04] Performing Linux specific checks
[21:28:04]   Checking loaded kernel modules                  [ Warning ]
[21:28:04] Warning: The modules file '/proc/modules' is missing.
[21:28:04] Info: Using modules pathname of '/lib/modules'
[21:28:04]   Checking kernel module names                    [ Warning ]
[21:28:04] Warning: The kernel modules directory '/lib/modules' is missing or empty.

Dois-je m'inquiéter selon vous ?

Salut,

Le premier semble dire que tu as un soucis. Aurais-tu mis des sources en plus et/ou installé selinux*?
Pour le second, il te dit juste que les chemins sont inexistants, et peut être occupé pour le second.

ex_rat

Salut
Tu aurais Plex sur le serveur ? Parce que le premier ça peut venir du transcodage d'après Google.
Mais j'ai jamais rien compris aux alertes RKHunter donc... ^^
Ex.

bistouri

Tu as vu juste ex_rat, j'ai Plex d'installé. Je ne me rapelle pas avoir installé selinux. Je n'ai fais que suivre les tutos du forum qui traitent de teamspeak, la sécurisation et ruorrent (install auto). Pour plex j'ai bidouillé solo

ex_rat

Donc ça doit être ça, juste un faux positif, y'a pas à s'inquiéter.
Ex.

bistouri

ex_rat wrote:Donc ça doit être ça, juste un faux positif, y'a pas à s'inquiéter.
Ex.

Ok. Merci pour vos réponses a tous.

NOnoS

Bonjour,

J'ai installé rkhunter à l'instant pour vérifier qu'il n'y avait aucun problèmes.
Il me retourne différents messages d'alertes. Pourriez-vous m'indiquer si ce sont des faux positifs ?

[17:23:39]   /usr/bin/unhide.rb                              [ Warning ]
[17:23:39] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text

[17:26:27] Performing Linux specific checks
[17:26:27]   Checking loaded kernel modules                  [ Warning ]
[17:26:28] Warning: The modules file '/proc/modules' is missing.
[17:26:28] Info: Using modules pathname of '/lib/modules'
[17:26:28]   Checking kernel module names                    [ Warning ]

[17:26:44]   Checking for hidden files and directories       [ Warning ]
[17:26:44] Warning: Hidden directory found: '/etc/.java'

Merci d'avance pour votre aide

lokiii

Je te drai de les googler ?
Quelqu'un connait la liste des faux positifs de Rkhunter par coeur ici ?

NOnoS

Okey, en jetant un coup d'oeil sur Google, aucun de ses "avertissements" ne semble être de véritable menace. Il s'agit de faux positif qui peuvent être désactivé lors du scan pour éviter d'avoir à nouveau les messages.

setsuneh

Si pas à jour tu lances cette commande

sudo rkhunter --propupd

Si tu veux juste les choses importantes tu lances ceci

sudo rkhunter -c --rwo

« Page précédente Page suivante »