Discussion Pour le tuto Sécurisation & Logs V3 : https://mondedie.fr/d/5318-Tuto-Securisation-Logs-V-3-nginx

Un GRAND merci ex_rat Version 2.0 du tuto presque parfaite. J'aurai une question sur la sécurisation SSH, lorsque que on a bloqué le login root et autorise un user perso créé, Il y a un moyen de pouvoir avoir les droits root sur filezilla en sftp avec l'user perso ?

Non. Pour avoir les droits root c'est soit utiliser sudo (pas possible avec filezilla) soit changer l'uid = 0 ce qui revient à renommer le user root en autre chose.

Merci beaucoup pour ce tuto très clair ! Je débute avec mon dédié Kimsufi et j'ai pu tout paramétrer sans problème, beau boulot.

Merci Par contre y'a un os, pas trop embêtant parce que ça risque pas grand chose mais quand même... Je m'étais jamais trop penché sur fail2ban mais la config' pour lighttpd qu'on retrouve sur tout les tuto qui trainent marche pas vraiment. Les 3 fichiers de conf "apache-truc" qu'on utilise en /etc/fail2ban/filter.d/ ne voient rien passer. C'est pour ça qu'on ramasse des bots "myphpadmin" en rafale entre autre. Pareil pour les tentatives d'identification à la porte de rutorrent, ça ban quedale Je teste quelques trucs... Pour l'identification j'ai ça déjà qui marche pas mal même si ça ne ban que si le guignol utilise un pseudo existant sur la box (pas trouvé pour un "toto" mais c'est moins gênant) On édite : nano /etc/fail2ban/filter.d/apache-auth.conf On efface tout et on colle à la place : # Fail2Ban configuration file # for lighttpd htdigest [Definition] # Option: failregex # Notes.: regex to match the password failure messages in the logfile. # Values: TEXT failregex = .*http_auth.*wrong password.*IP: <HOST>\s*$ .*http_auth.*password doesn\'t match.*IP: <HOST>\s*$ # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT ignoreregex = Et on relance fail2ban : /etc/init.d/fail2ban restart J'ai testé c'est ok, je viens de bannir ma mère au bout de 3 tentatives. "Mais t'es sur que je vais pas avoir d'ennuis ?!?" 🙂) J'ai un truc aussi pour les bots phpmyadmin mais j'attends d'avoir plus de retour sur mon test, je manque de pénibles sur le serveur pour l'instant. Votre avis sur la question m’intéresse grandement et si vous pouvez confirmer... Et pas facile "regex" au passage. Ex.

Oui c'est ça, j'ai une regex en stock pour nginx pour ceux qui voudrons passer à nginx quand j'aurais fait le tuto.

Ok je ferais la mise à jour un peu plus tard avec des règles propres. On suit des trucs sans les comprendre et on fait pornawak, c'est malheureux Edit: J'ai corrigé la partie Fail2Ban / Lighttpd avec ajout d'un filtre anti-script, ça marche pas mal du tout Ajout dans la règle anti script de fail2ban d'une ligne anti wootwoot qui marche pas mal du tout.

Bonjour et merci a ex_rat pour ce tuto. Tous c'est parfaitement dérouler, par contre je n'ai pas encore osé toucher la partie sécurité ssh.Du coup j'ai aussi sauté l’étape portsentry. De toute façon je me suis aperçu que dans les mails reçus par fail2ban la plupart des tentatives ont été effectuées sur des ports autre que le 22. J'ai juste 2, 3 questions: - Sur la partie "postfix" pour rediriger les mails vers root a quoi sert pour appliquer les changements `newaliases` Moi j'ai fait `/etc/aliases` modifier en `/etc/newaliases`.Au début j'avais créé un newaliases dans aliases mais cela ne me retourner aucun mail. - Dans la partie "logwatch", on edit le fichier `/usr/share/logwatch/default.conf/logfiles/lighttpd.conf` et on modifie les valeurs. J'ai supprimé la totalité des lignes et j'ai copié les lignes du tuto `LogFile = lighttpd/*access_log......ect` - Et pour finir sur la partie fail2ban mais je crois que du coup c'est bon puisque je reçois les logs par mail sur la création des deux filtres pour Lighttpd.Dans les fichiers, on remplace *HOST* par rien ? Merci.

Salut - Pour ta question sur logwatch, il y a juste l'adresse mail à modifier, le reste des commandes se tape tel quel sans rien changer: nano /etc/aliases Et rajouter à la fin : root: ton_mail@mail.com Tu enregistres la modif' : (ctrl X... Y...) Et après seulement, quand t'es "revenu" sur ta console tu tapes pour valider les changements : newaliases - Pour ta question sur HOST, on laisse comme ça dans les règles sans rien modifier. Par contre, ne fait pas l'impasse sur la sécu SSH, c'est le plus important avec fail2ban, et penses après a modifier le port surveillé par fail2ban pour qu'il fasse son boulot Bon courage Ex.

Salut , je doit bien avoir tous fait car je reçois parfaitement tous les mails. C'est aussi ok pour la partie SSH. Par contre comment supprimer quelques lignes dans le logserver ? Tu compte faire une partie pour AWStats ? ça permet bien de vérifier toutes les adresses ip banni sur le serveur? sudo nano checklist_ban Merci.

Pour AWStats il y avait ça dans l'ancien post sécurité qui est un peu plus bas sur la première page. Mais d'après les commentaires il y avait des soucis donc j'ai pas remis au propre, si quelqu’un a un tuto 100% fonctionnel, qu'il hésite pas Logserver, y'a une rotation du log sur 7 jours, c'est vrai qu'en fin de semaine le fichier est un peu lourd mais c'est pas trop gênant, j'ai pas soluce pour faire plus light mais si quelqu’un a ça et veut faire évoluer le truc avec un script ou autre idée, il est le bienvenue.... Fail2ban utilise Iptables, d'après la faq pour voir les ban en cours: `iptables -L` Pour un log plus parlant voir ici en bas de page: FAQ Fail2ban , faut ajouter des trucs dans les actions de jail.local Après y'a toujours moyen de voir les dernières entrées et suivre ça en live dans fail2ban.log quand y'a rien à la tv : tail -f -n 50 /var/log/fail2ban.log | ccze (toujours avec des jolies couleurs, parce que j'aime bien ! ) Ex.

[Discussion] : Sécurisation & Logs {nginx} {lighttpd} : Page 23

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] : Sécurisation & Logs {nginx} {lighttpd}

phlo

@ex_rat

Pourquoi ne pas améliorer le mail de connexion root ? On le reçoit tellement souvent, autant qu'il soit en français et un peu plus clair non ? 😛

Genre remplacer

echo 'Acces Shell Root le ' `date` `who` | mail -s 'Connexion serveur via root' root

Par

echo -e "Connexion root détectée le `LC_ALL=fr_FR.utf8 date +"%a %d %b %Y à %T"`\nUtilisateur (s) connecté(s):\n`who --ips|awk '{print $1,"via",$5}'`\n" | mail -s "Connexion root au serveur" root

Non ?

Edit: Ou même rajouter ça pour éviter de recevoir le mail quand on se logue en root depuis chez nous

last -in 1 | grep 'IPMAISON' &> /dev/null
if [ $? == 0 ]; then
:
else  echo -e "Connexion root détectée le `LC_ALL=fr_FR.utf8 date +"%a %d %b %Y à %T"`\nUtilisateur (s) connecté(s):\n`who --ips|awk '{print $1,"via",$5}'`\n" | mail -s "Connexion root au serveur" root
fi

en remplaçant IPMAISON par notre IP de chez nous ^^

Edit: Corrigé, ça devrait marcher comme il faut là

Dende83

J'ai installé le script auto d'Ex_rat, puis suivi le tuto de sécurisation, mais j'ai l'impression d'avoir un problème avec fail2ban sur le port ssh, voici une partie du rapport logwatch quotidien :

 sshd:
    Authentication Failures:
       root (x.x.x.x): 778 Time(s)

Or l'ip concernée ne semble jamais avoir été bannie : pas de trace avec "iptables -L -n", aucun email reçu de la part de fail2ban (pourtant j'ai testé un ban d'authentification sur https et j'ai bien reçu le mail de f2b. J'attends qui ami soit dispo pour tester sur ssh).

J'avais changé le port ssh du serveur dans /etc/ssh/sshd_config, que j'avais également ajouté dans /etc/fail2ban/jail.local :

[ssh]
enabled  = true
port     = ssh,NuméroDuNouveauPort
filter   = sshd
logpath  = /var/log/auth.log
banaction = iptables-multiport
maxretry = 5

Est ce que fail2ban ignore les tentatives de connexion en root, lorsque le root login n'est pas autorisé (/etc/ssh/sshd_config) ?

Est-ce que j'ai oublié quelque chose ?
Merci d'avance.

Taguy

1) dans le jail.local, normalement tout y est preconfiguré sauf le port
2) pour un port 567 :il ne faut pas mettre

ssh,567

mais juste

Je ne vois pas comment f2b pourrait "voir" les tentatives de connexions root puisque quels sont impossibles. Mait tu peut peut etre les voir dans /var/log/auth.log

Dende83

C'est très clair. Merci beaucoup Taguy

Taguy

après tu peut la ban avec

ban

puis tu mets l'ip

Dende83

Après test le ban sur port ssh marche parfaitement, même avec plusieurs ports séparés par des virgules dans le jail.local (il me semblait avoir lu ça qq part ^^). Et ça marche très bien quand le root login est interdit.

L'ip est bien répertoriée dans des listes d'attackers brute force (chine). Donc je pense que les tentatives devaient être trop espacées pour déclencher le ban (findtime de 10min). J'ai ban l'ip mais j'allongerai peut être un peu le findtime, histoire de pas être sur la valeur par défaut...

Tout à l'air de fonctionner, encore merci pour le tuto!

Sinon le bout de code de phlo marche parfaitement (le mail de connexion root qui ignore une ip) :

last -in 1 | grep 'IPMAISON' &> /dev/null
if [ $? == 0 ]; then
:
else  echo -e "Connexion root détectée le `LC_ALL=fr_FR.utf8 date +"%a %d %b %Y à %T"`\nUtilisateur (s) connecté(s):\n`who --ips|awk '{print $1,"via",$5}'`\n" | mail -s "Connexion root au serveur" root
fi

Très pratique.

Remplacer

grep 'IPMAISON'

par

grep -E '1.2.3.4|5.6.7.8|x.x.x.x|y.y.y.y'

ou par

grep '1.2.3.4\|5.6.7.8\|x.x.x.x\|y.y.y.y'

afin d'ignorer l'envoi pour plusieurs ip (merci pour la réponse en mp phlo)

kaostyl

Salut,
Merci pour ce tuto vraiment génial, j'ai tout lu et je vais commencer maintenant

Vu que l'on est que 3 à utiliser ma seedbox je voudrais autoriser que les adresses ip des ces 3 personnes est-ce possible svp?
Merci bcp si vous pouvez m'aider

PS: super site j'adore

arckosfr

Oui c'est possible mais pas conseillé, car si les IP changent c'est foutu

kaostyl

Oui effectivement et merci pour ta réponse.
Vraiment Ex_rat encore merci pour ce tuto, tout est vraiment très bien expliqué et j'ai pu effectuer toutes les actions sans le moindre soucis.
J'ai egalement utilisé le tuto pour le Script d'installation automatique ruTorrent & Seedbox-Manager et j'ai une seedbox parfaitement fonctionnelle maintenant

J'essaye de bien comprendre tout ce que je fais est je prends des notes car je suis novice

En revanche j'ai encore quelques questions:
Y-a-t-il des choses à faire au niveau de iptable? sachant que j'ai installe le script auto rutorrent est ce que c'est pré-configuré?
On m'a conseillé d'installer Watchdog afin de surveiller la santé du système, est-ce qu'il y a réellement un intérêt à le faire?
On m'a également conseillé d'installer snort pour la détection d'intrusion mais cela ne fait-il pas doublon?

Encore merci pour tout

ex_rat

Salut
Je te dirai qu'avec fail2ban, portsentry et le changement de port ssh, c'est largement suffisant pour être tranquille.
Y'a pas vraiment besoin d'autre chose à part maintenir régulièrement le système à jour. Perso j'ai jamais fait plus que ça.
Après si c'est dans le but d'apprendre des trucs c'est différent...
Ex.

kaostyl

ex_rat wrote:Salut
Je te dirai qu'avec fail2ban, portsentry et le changement de port ssh, c'est largement suffisant pour être tranquille.
Y'a pas vraiment besoin d'autre chose à part maintenir régulièrement le système à jour. Perso j'ai jamais fait plus que ça.
Après si c'est dans le but d'apprendre des trucs c'est différent...
Ex.

Un grand merci à toi Ex! Vraiment tous les tutos ici m'ont beaucoup aidé

Je vais tout même faire mes propres tests concernant watchdog et snort mais en machine virtuelle (pas envi de tout flinguer sur ma seedbox)
Si je trouve des choses intéressantes je viendrais certainement partager mon retour d'expérience ici

Très bonne journée à vous!

esox13

Salut à tous,
ayant suivi ce tuto afin de mettre au gout du jour la sécurisation de mon serveur, je m'interrogeais sur le volume d'IP bannis via portsentry ayant données lieu à la création d'une règle dans iptables.

En effet, à peine 12 heures après le démarrage du service portsentry j'en suis à pas moins de 370 lignes dans iptables (environ 180 Ip dans hosts.deny).
Cette volumétrie vous paraît-elle normale ou est-ce les réglages qui sont un peu trop serrés ?

Je constate que chaque ip détectée par portsentry engendre la création d'une règle DROP et LOG via la commande :

KILL_RUN_CMD="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I INPUT -s $TARGET$ -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level debug --log-prefix 'Portsentry: dropping: '"

Est-ce qu'iptables ne risque pas de saturer à un moment donné ? (ralentissement ?)

De plus je vous invite à consulter le dernier post de la page : https://www.debian-fr.org/t/micro-remarque-sur-le-tuto-de-portsentry/63027/4

Comme le souligne son auteur, je pense qu'effectivement la commande externe KILL_RUN_CMD fait double emploi avec

KILL_ROUTE="/sbin/route add -host $TARGET$ reject"

Merci pour vos retours.

ex_rat

Salut
Les 370 scans en 12h ne me paraissent pas extra-terrestre du tout, les bots c'est non stop...
J'ai jamais eu de ralentissement ou de problème avec iptables ou host.deny ras le museau de mon coté.
Je vais corriger le tuto par rapport à ton lien, effectivement je viens de tester le truc et ça fait le job pareil donc on va faire ça plus proprement

Ex.

esox13

Merci pour cet éclaircissement ex_rat
Bien à toi

nami007

Yop, je viens de réinstaller rkhunter sur le dédié d'un pote et quand je suis à :

Configuration :
nano /etc/default/rkhunter
Modifier les valeurs :
DB_UPDATE_EMAIL="yes"

En gros dans le fichier

/etc/default/rkhunter

j'ai

 DB_UPDATE_EMAIL="false"

Du coup je suppose qu'il faut mettre sur true au lieu de yes, peut-être qu'il y a eu une maj du fichier et qu'il faudrait maj le tuto, je sais pas trop donc je signale juste.

Le numéro de version est : 1.4.2

ex_rat

Merci pour le retour nami007, je vais remettre tous ça à jour dès que j'ai un peu de temps

Ex.

setsuneh

J'ai installé sur un nouveau serveur postfix + mailutils, sauf que rien ne s'envoit log d'erreur (mail pas joignable).
Tenté sur plusieurs adresse, soit ce soucis soit je ne reçois jamais rien.
Le DNS MX est par défaut avec le NDD.. Une idée? merci

ex_rat

Salut
Moi je suis pas au top pour ces histoires de mails et de postfix, je ne peux pas trop aider là dessus...
Si t'as pas d'autres réponses, hésites pas à ouvrir un topic à part pour être plus visible.
Ex.

Taguy

setsuneh wrote:J'ai installé sur un nouveau serveur postfix + mailutils, sauf que rien ne s'envoit log d'erreur (mail pas joignable).
Tenté sur plusieurs adresse, soit ce soucis soit je ne reçois jamais rien.
Le DNS MX est par défaut avec le NDD.. Une idée? merci

Ca te retourne rien ? T'aqs vérifié tes spams ?

setsuneh

Plop,

Cela me retourne un message en disant que l'accès est refusé.
J'ai même renseigné les champs dans le fichier config'mais même résultat..

Comme c'est un VPS, cela peut jouer?

« Page précédente Page suivante »