• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

@ex_rat

Pourquoi ne pas améliorer le mail de connexion root ? On le reçoit tellement souvent, autant qu'il soit en français et un peu plus clair non ? 😛

Genre remplacer 
echo 'Acces Shell Root le ' `date` `who` | mail -s 'Connexion serveur via root' root
Par 
echo -e "Connexion root détectée le `LC_ALL=fr_FR.utf8 date +"%a %d %b %Y à %T"`\nUtilisateur (s) connecté(s):\n`who --ips|awk '{print $1,"via",$5}'`\n" | mail -s "Connexion root au serveur" root
Non ?

Edit: Ou même rajouter ça pour éviter de recevoir le mail quand on se logue en root depuis chez nous
last -in 1 | grep 'IPMAISON' &> /dev/null
if [ $? == 0 ]; then
:
else  echo -e "Connexion root détectée le `LC_ALL=fr_FR.utf8 date +"%a %d %b %Y à %T"`\nUtilisateur (s) connecté(s):\n`who --ips|awk '{print $1,"via",$5}'`\n" | mail -s "Connexion root au serveur" root
fi
en remplaçant IPMAISON par notre IP de chez nous ^^

Edit: Corrigé, ça devrait marcher comme il faut là
22 jours plus tard
J'ai installé le script auto d'Ex_rat, puis suivi le tuto de sécurisation, mais j'ai l'impression d'avoir un problème avec fail2ban sur le port ssh, voici une partie du rapport logwatch quotidien : 
 sshd:
    Authentication Failures:
       root (x.x.x.x): 778 Time(s)
Or l'ip concernée ne semble jamais avoir été bannie : pas de trace avec "iptables -L -n", aucun email reçu de la part de fail2ban (pourtant j'ai testé un ban d'authentification sur https et j'ai bien reçu le mail de f2b. J'attends qui ami soit dispo pour tester sur ssh).

J'avais changé le port ssh du serveur dans /etc/ssh/sshd_config, que j'avais également ajouté dans /etc/fail2ban/jail.local : 
[ssh]
enabled  = true
port     = ssh,NuméroDuNouveauPort
filter   = sshd
logpath  = /var/log/auth.log
banaction = iptables-multiport
maxretry = 5
Est ce que fail2ban ignore les tentatives de connexion en root, lorsque le root login n'est pas autorisé (/etc/ssh/sshd_config) ?

Est-ce que j'ai oublié quelque chose ?
Merci d'avance.
1) dans le jail.local, normalement tout y est preconfiguré sauf le port
2) pour un port 567 :il ne faut pas mettre 
ssh,567
mais juste 
567
Je ne vois pas comment f2b pourrait "voir" les tentatives de connexions root puisque quels sont impossibles. Mait tu peut peut etre les voir dans /var/log/auth.log
C'est très clair. Merci beaucoup Taguy
après tu peut la ban avec 
ban
puis tu mets l'ip
Après test le ban sur port ssh marche parfaitement, même avec plusieurs ports séparés par des virgules dans le jail.local (il me semblait avoir lu ça qq part ^^). Et ça marche très bien quand le root login est interdit.

L'ip est bien répertoriée dans des listes d'attackers brute force (chine). Donc je pense que les tentatives devaient être trop espacées pour déclencher le ban (findtime de 10min). J'ai ban l'ip mais j'allongerai peut être un peu le findtime, histoire de pas être sur la valeur par défaut...

Tout à l'air de fonctionner, encore merci pour le tuto!

Sinon le bout de code de phlo marche parfaitement (le mail de connexion root qui ignore une ip) : 
last -in 1 | grep 'IPMAISON' &> /dev/null
if [ $? == 0 ]; then
:
else  echo -e "Connexion root détectée le `LC_ALL=fr_FR.utf8 date +"%a %d %b %Y à %T"`\nUtilisateur (s) connecté(s):\n`who --ips|awk '{print $1,"via",$5}'`\n" | mail -s "Connexion root au serveur" root
fi
Très pratique.

Remplacer 
grep 'IPMAISON'
par 
grep -E '1.2.3.4|5.6.7.8|x.x.x.x|y.y.y.y'
ou par 
grep '1.2.3.4\|5.6.7.8\|x.x.x.x\|y.y.y.y'
afin d'ignorer l'envoi pour plusieurs ip (merci pour la réponse en mp phlo)
10 jours plus tard
Salut,
Merci pour ce tuto vraiment génial, j'ai tout lu et je vais commencer maintenant
Vu que l'on est que 3 à utiliser ma seedbox je voudrais autoriser que les adresses ip des ces 3 personnes est-ce possible svp?
Merci bcp si vous pouvez m'aider

PS: super site j'adore
Oui c'est possible mais pas conseillé, car si les IP changent c'est foutu
Oui effectivement et merci pour ta réponse.
Vraiment Ex_rat encore merci pour ce tuto, tout est vraiment très bien expliqué et j'ai pu effectuer toutes les actions sans le moindre soucis.
J'ai egalement utilisé le tuto pour le Script d'installation automatique ruTorrent & Seedbox-Manager et j'ai une seedbox parfaitement fonctionnelle maintenant
J'essaye de bien comprendre tout ce que je fais est je prends des notes car je suis novice

En revanche j'ai encore quelques questions:
Y-a-t-il des choses à faire au niveau de iptable? sachant que j'ai installe le script auto rutorrent est ce que c'est pré-configuré?
On m'a conseillé d'installer Watchdog afin de surveiller la santé du système, est-ce qu'il y a réellement un intérêt à le faire?
On m'a également conseillé d'installer snort pour la détection d'intrusion mais cela ne fait-il pas doublon?

Encore merci pour tout
Salut
Je te dirai qu'avec fail2ban, portsentry et le changement de port ssh, c'est largement suffisant pour être tranquille.
Y'a pas vraiment besoin d'autre chose à part maintenir régulièrement le système à jour. Perso j'ai jamais fait plus que ça.
Après si c'est dans le but d'apprendre des trucs c'est différent...
Ex.
ex_rat wrote:Salut
Je te dirai qu'avec fail2ban, portsentry et le changement de port ssh, c'est largement suffisant pour être tranquille.
Y'a pas vraiment besoin d'autre chose à part maintenir régulièrement le système à jour. Perso j'ai jamais fait plus que ça.
Après si c'est dans le but d'apprendre des trucs c'est différent...
Ex.
Un grand merci à toi Ex! Vraiment tous les tutos ici m'ont beaucoup aidé
Je vais tout même faire mes propres tests concernant watchdog et snort mais en machine virtuelle (pas envi de tout flinguer sur ma seedbox)
Si je trouve des choses intéressantes je viendrais certainement partager mon retour d'expérience ici
Très bonne journée à vous!
Salut à tous,
ayant suivi ce tuto afin de mettre au gout du jour la sécurisation de mon serveur, je m'interrogeais sur le volume d'IP bannis via portsentry ayant données lieu à la création d'une règle dans iptables.

En effet, à peine 12 heures après le démarrage du service portsentry j'en suis à pas moins de 370 lignes dans iptables (environ 180 Ip dans hosts.deny).
Cette volumétrie vous paraît-elle normale ou est-ce les réglages qui sont un peu trop serrés ?

Je constate que chaque ip détectée par portsentry engendre la création d'une règle DROP et LOG via la commande :
KILL_RUN_CMD="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I INPUT -s $TARGET$ -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level debug --log-prefix 'Portsentry: dropping: '"
Est-ce qu'iptables ne risque pas de saturer à un moment donné ? (ralentissement ?)

De plus je vous invite à consulter le dernier post de la page : https://www.debian-fr.org/t/micro-remarque-sur-le-tuto-de-portsentry/63027/4

Comme le souligne son auteur, je pense qu'effectivement la commande externe KILL_RUN_CMD fait double emploi avec 
KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
Merci pour vos retours.
Salut
Les 370 scans en 12h ne me paraissent pas extra-terrestre du tout, les bots c'est non stop...
J'ai jamais eu de ralentissement ou de problème avec iptables ou host.deny ras le museau de mon coté.
Je vais corriger le tuto par rapport à ton lien, effectivement je viens de tester le truc et ça fait le job pareil donc on va faire ça plus proprement
Ex.
Merci pour cet éclaircissement ex_rat
Bien à toi
5 jours plus tard
Yop, je viens de réinstaller rkhunter sur le dédié d'un pote et quand je suis à :
Configuration :
nano /etc/default/rkhunter
Modifier les valeurs :
DB_UPDATE_EMAIL="yes"
En gros dans le fichier 
/etc/default/rkhunter
j'ai 
 DB_UPDATE_EMAIL="false"
Du coup je suppose qu'il faut mettre sur true au lieu de yes, peut-être qu'il y a eu une maj du fichier et qu'il faudrait maj le tuto, je sais pas trop donc je signale juste.

Le numéro de version est : 1.4.2
Merci pour le retour nami007, je vais remettre tous ça à jour dès que j'ai un peu de temps
Ex.
6 jours plus tard
J'ai installé sur un nouveau serveur postfix + mailutils, sauf que rien ne s'envoit log d'erreur (mail pas joignable).
Tenté sur plusieurs adresse, soit ce soucis soit je ne reçois jamais rien.
Le DNS MX est par défaut avec le NDD.. Une idée? merci
Salut
Moi je suis pas au top pour ces histoires de mails et de postfix, je ne peux pas trop aider là dessus...
Si t'as pas d'autres réponses, hésites pas à ouvrir un topic à part pour être plus visible.
Ex.
setsuneh wrote:J'ai installé sur un nouveau serveur postfix + mailutils, sauf que rien ne s'envoit log d'erreur (mail pas joignable).
Tenté sur plusieurs adresse, soit ce soucis soit je ne reçois jamais rien.
Le DNS MX est par défaut avec le NDD.. Une idée? merci
Ca te retourne rien ? T'aqs vérifié tes spams ?
Plop,

Cela me retourne un message en disant que l'accès est refusé.
J'ai même renseigné les champs dans le fichier config'mais même résultat..

Comme c'est un VPS, cela peut jouer?