met les messages
[Discussion] : Sécurisation & Logs {nginx} {lighttpd}
Voilà
--B962355A1693.1465856155/LibreNMS
Content-Description: Delivery report
Content-Type: message/delivery-status
Reporting-MTA: dns; LibreNMS
X-Postfix-Queue-ID: B962355A1693
X-Postfix-Sender: rfc822; root@LibreNMS
Arrival-Date: Mon, 13 Jun 2016 17:32:18 -0400 (EDT)
Final-Recipient: rfc822; XXX
Action: failed
Status: 5.7.1
Remote-MTA: dns; smtp.XXX.xyz
Diagnostic-Code: smtp; 554 5.7.1 <unknown[XXX]>: Client host
rejected: Access denied
--B962355A1693.1465856155/LibreNMS
Content-Description: Undelivered Message
Content-Type: message/rfc822
Return-Path: <root@LibreNMS>
Received: by LibreNMS (Postfix, from userid 0)
id B962355A1693; Mon, 13 Jun 2016 17:32:18 -0400 (EDT)
To: XXXX
Subject: Hello world
Message-Id: <20160613213218.B962355A1693@LibreNMS>
Date: Mon, 13 Jun 2016 17:32:18 -0400 (EDT)
From: root@LibreNMS (root)
Salut, je suis un canard.
--B962355A1693.1465856155/LibreNMS--
Ah ok, tu as ton propre serveur mail, tu ne l'as pas installé avec ce tuto..
Non non.
J'ai juste installé posfix & mailutils uniquement.. COmme dit dans le tuto
J'ai juste installé posfix & mailutils uniquement.. COmme dit dans le tuto
fait
Lors de l'installation, laisser la configuration par défaut
aka No configuration je pense...
apt-get remove --purge postfix mailutilsLors de l'installation, laisser la configuration par défaut
aka No configuration je pense...
Salut,kaostyl wrote:Oui effectivement et merci pour ta réponse.
Vraiment Ex_rat encore merci pour ce tuto, tout est vraiment très bien expliqué et j'ai pu effectuer toutes les actions sans le moindre soucis.
J'ai egalement utilisé le tuto pour le Script d'installation automatique ruTorrent & Seedbox-Manager et j'ai une seedbox parfaitement fonctionnelle maintenant
J'essaye de bien comprendre tout ce que je fais est je prends des notes car je suis novice
En revanche j'ai encore quelques questions:
Y-a-t-il des choses à faire au niveau de iptable? sachant que j'ai installe le script auto rutorrent est ce que c'est pré-configuré?
On m'a conseillé d'installer Watchdog afin de surveiller la santé du système, est-ce qu'il y a réellement un intérêt à le faire?
On m'a également conseillé d'installer snort pour la détection d'intrusion mais cela ne fait-il pas doublon?
Encore merci pour tout
Ou sinon plutôt que d'installer plein de trucs, tu mets des règles IPtables pour droper tout trafic foireux et bloquer les accès sur tes IP (fixes cela va de soi). Sur une seeboxe pas la peine de trop en mettre, on n'est pas en entreprise non plus.
un mois plus tard
- Modifié
Salut.
J'ai du mal à faire fonctionner l'envoi des mails.
Je ne comprends pas trop la phrase:
J'ai essayé l'option 1 mais la suite ne marche pas.
J'ai du mal à faire fonctionner l'envoi des mails.
Je ne comprends pas trop la phrase:
Par rapport à ce que j'ai à l'écran:Lors de l'installation, laisser la configuration par défaut et dans "Nom de courrier" mettre le nom de votre serveur.
Please select the mail server configuration type that best meets your needs.
No configuration:
Should be chosen to leave the current configuration unchanged.
Internet site:
Mail is sent and received directly using SMTP.
Internet with smarthost:
Mail is received directly using SMTP or by running a utility such
as fetchmail. Outgoing mail is sent using a smarthost.
Satellite system:
All mail is sent to another machine, called a 'smarthost', for delivery.
Local only:
The only delivered mail is the mail for local users. There is no network.
1. No configuration 2. Internet Site 3. Internet with smarthost 4. Satellite system 5. Local only
General type of mail configuration:J'ai essayé l'option 1 mais la suite ne marche pas.
Salut
La réponse est 2 => Internet Site
Mais normalement, l'install de postfix est un peu plus graphique, c'est bizarre.
Tu peux relancer la configuration comme ça (y'a plus de questions que la premiere fois mais ça change rien):
Ca devrait être la même chose en version plus rugueuse...
Ex.
La réponse est 2 => Internet Site
Mais normalement, l'install de postfix est un peu plus graphique, c'est bizarre.
Tu peux relancer la configuration comme ça (y'a plus de questions que la premiere fois mais ça change rien):
dpkg-reconfigure postfixCa devrait être la même chose en version plus rugueuse...
Ex.
- Modifié
Ok merci, je vais essayer ça.ex_rat wrote:Salut
Mais normalement, l'install de postfix est un peu plus graphique, c'est bizarre.
Ok j'ai réussi pour les mails. Merci 
Maintenant pour fail2ban. Je ne sais pas trop que faire à ce niveau, sachant que j'ai un IP dynamique:
Maintenant pour fail2ban. Je ne sais pas trop que faire à ce niveau, sachant que j'ai un IP dynamique:
ignoreip = 127.0.0.1/8 XXX.XXX.XXX.XXX #<= Votre IP "maison" habituelle si fixe- Modifié
Salut,
Voici une solution.
Lancer cette commande sur ton PC local (en l'adaptant à Windows que je ne connais pas)
Installer ce script sur ton serveur et l'ajouter en CRON (user ROOT ou SUDO).
Crados mais fait le job.
Sinon tu whitelist un VPN ou tu ajoutes plus de droits à l'erreur. Je vois pas comment on peut se tromper de pwd plus d'une fois.
Voici une solution.
Lancer cette commande sur ton PC local (en l'adaptant à Windows que je ne connais pas)
curl icanhazip.com > /chemin/bers/newip.txtInstaller ce script sur ton serveur et l'ajouter en CRON (user ROOT ou SUDO).
#!/bin/bash
IPn=`cat /chemin/vers/newip.txt`
IPo=`cat /chemin/vers/oldip.txt`
IPfix="127.0.0.1\ 127.0.0.0\/8\ 10.0.0.0\/8\ 172.16.0.0\/12\ 192.168.0.0\/16\ 176.28.21.39\/24\ "
CONFIG_FILE=/chemin/vers/jail.local
if [ "$IPn" != "$IPo" ]
then
sed -i "s/\(ignoreip *= *\).*/\1$IPfix$IPn/" $CONFIG_FILE
echo $IPn > /chemin/vers/oldip.txt
service fail2ban restart
echo "$IPn ajoutée à Fai2ban" | mail -s "[Fail2ban] nouvelle IP" moi@email.com
fiCrados mais fait le job.
Sinon tu whitelist un VPN ou tu ajoutes plus de droits à l'erreur. Je vois pas comment on peut se tromper de pwd plus d'une fois.
6 jours plus tard
- Modifié
Salut,
J'ai remplacé portsentry par psad après une migration foireuse
https://forums.archlinux.fr/viewtopic.php?f=5&t=13224&p=113257&hilit=portsentry#p113257
http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/
http://www.cipherdyne.org/psad/
http://cipherdyne.org/psad/docs/
C'est encore tout chaud, ça fait a peine quelques heures que je m'amuse avec !
Y a pas mal de paramètres j'avoue pas tout comprendre, mais c'est bien documenté.
Quelqu'un parmi vous l'utilise ?
et merci pour tes tuto Ex. et ta doc sur iptables Aerya vous êtes top !
bisous 3>
J'ai remplacé portsentry par psad après une migration foireuse
https://forums.archlinux.fr/viewtopic.php?f=5&t=13224&p=113257&hilit=portsentry#p113257
http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/
http://www.cipherdyne.org/psad/
http://cipherdyne.org/psad/docs/
C'est encore tout chaud, ça fait a peine quelques heures que je m'amuse avec !
Y a pas mal de paramètres j'avoue pas tout comprendre, mais c'est bien documenté.
Quelqu'un parmi vous l'utilise ?
et merci pour tes tuto Ex. et ta doc sur iptables Aerya vous êtes top !
bisous 3>
- Modifié
Salut,
Il existe quelque part une sorte de blacklist de ranges d'IP à bannir d'office ?
Comme ça je les ban à l'avance
Je me réponds à moi même:
Je suis tombé sur ceci https://www.blocklist.de/en/export.html
Il existe quelque part une sorte de blacklist de ranges d'IP à bannir d'office ?
Comme ça je les ban à l'avance
Je me réponds à moi même:
Je suis tombé sur ceci https://www.blocklist.de/en/export.html
18 jours plus tard
Bonjour à tous,
J'ai suivi le tuto pour sécuriser mon install je remercie Ex_Rat pour le travail énorme de vulgarisation et simplification. Depuis quelques semaines j'ai modifié le niveau de détail de Logwatch à "mid" pour avoir un peut plus de détails sur le log journalier.
Ce week end, j'ai eu des alertes dans le log matinal dans la section Kernel avec de nombreuses tentatives depuis une IP inconnue. Quelqu'un sait-il de quoi il peut s'agir ?
Merci à vous
J'ai suivi le tuto pour sécuriser mon install je remercie Ex_Rat pour le travail énorme de vulgarisation et simplification. Depuis quelques semaines j'ai modifié le niveau de détail de Logwatch à "mid" pour avoir un peut plus de détails sur le log journalier.
Ce week end, j'ai eu des alertes dans le log matinal dans la section Kernel avec de nombreuses tentatives depuis une IP inconnue. Quelqu'un sait-il de quoi il peut s'agir ?
1 Time(s): Peer xxx.xxx.xx.xxx:61345/40500 unexpectedly shrunk window 3838100951:3838104016 (repaired)Merci à vous
- Modifié
Merci ! J'avais pourtant fait une recherche mais pas avec les bons termes. Désolé
NP, le principal étant d'avoir trouvé ta solution
11 jours plus tard
un copy/paste une ligne trop longue dans la parti Logwatch
/usr/share/logwatch/default.conf/logfiles/nginx.conf
...
# vi: shiftwidth=3 tabstop=3 etSalut
Je ne pige pas le soucis que tu veux me montrer, soit plus explicite
La ligne est ok, du coup je vois pas:
Je ne pige pas le soucis que tu veux me montrer, soit plus explicite
La ligne est ok, du coup je vois pas:
nano /usr/share/logwatch/default.conf/logfiles/nginx.confroot@xxxxx:~# cd /usr/share/logwatch/default.conf/logfiles
root@xxxxx:/usr/share/logwatch/default.conf/logfiles# ls -l
total 216
-rw-r--r-- 1 root root 645 juin 1 2013 audit_log.conf
-rw-r--r-- 1 root root 624 nov. 28 2013 autorpm.conf
-rw-r--r-- 1 root root 520 nov. 28 2013 bfd.conf
-rw-r--r-- 1 root root 1008 nov. 28 2013 cisco.conf
-rw-r--r-- 1 root root 838 nov. 28 2013 citadel.conf
-rw-r--r-- 1 root root 840 août 13 2011 clamav.conf
-rw-r--r-- 1 root root 2344 août 13 2011 clam-update.conf
-rw-r--r-- 1 root root 880 nov. 28 2013 cron.conf
-rw-r--r-- 1 root root 1002 nov. 28 2013 daemon.conf
-rw-r--r-- 1 root root 519 nov. 28 2013 denyhosts.conf
-rw-r--r-- 1 root root 232 juil. 26 2014 dirsrv.conf
-rw-r--r-- 1 root root 2831 nov. 28 2013 dnssec.conf
-rw-r--r-- 1 root root 864 nov. 28 2013 dpkg.conf
-rw-r--r-- 1 root root 943 nov. 28 2013 emerge.conf
-rw-r--r-- 1 root root 1485 nov. 28 2013 eventlog.conf
-rw-r--r-- 1 root root 1190 nov. 28 2013 exim.conf
-rw-r--r-- 1 root root 1051 nov. 28 2013 extreme-networks.conf
-rw-r--r-- 1 root root 965 nov. 28 2013 fail2ban.conf
-rw-r--r-- 1 root root 665 mai 4 2012 freeradius.conf
-rw-r--r-- 1 root root 1317 juil. 26 2014 http.conf
-rw-r--r-- 1 root root 1317 mai 3 2013 http-error.conf
-rw-r--r-- 1 root root 871 nov. 28 2013 iptables.conf
-rw-r--r-- 1 root root 993 nov. 28 2013 kernel.conf
-rw-r--r-- 1 root root 1149 juil. 26 2014 maillog.conf
-rw-r--r-- 1 root root 1187 nov. 28 2013 messages.conf
-rw-r--r-- 1 root root 507 août 13 2011 mysql.conf
-rw-r--r-- 1 root root 738 nov. 28 2013 mysql-mmm.conf
-rw-r--r-- 1 root root 1065 nov. 28 2013 netopia.conf
-rw-r--r-- 1 root root 1073 nov. 28 2013 netscreen.conf
-rw-r--r-- 1 root root 731 sept. 2 20:52 nginx.conf
-rw-r--r-- 1 root root 1383 nov. 28 2013 php.conf
-rw-r--r-- 1 root root 488 nov. 28 2013 pix.conf
-rw-r--r-- 1 root root 988 mai 3 2013 postgresql.conf
-rw-r--r-- 1 root root 911 nov. 28 2013 pureftp.conf
-rw-r--r-- 1 root root 618 nov. 28 2013 qmail-pop3d-current.conf
-rw-r--r-- 1 root root 622 nov. 28 2013 qmail-pop3ds-current.conf
-rw-r--r-- 1 root root 604 nov. 28 2013 qmail-send-current.conf
-rw-r--r-- 1 root root 618 nov. 28 2013 qmail-smtpd-current.conf
-rw-r--r-- 1 root root 2889 nov. 28 2013 resolver.conf
-rw-r--r-- 1 root root 612 nov. 28 2013 rt314.conf
-rw-r--r-- 1 root root 671 nov. 28 2013 samba.conf
-rw-r--r-- 1 root root 1143 nov. 28 2013 secure.conf
-rw-r--r-- 1 root root 1080 nov. 28 2013 sonicwall.conf
-rw-r--r-- 1 root root 1240 oct. 6 2014 spamassassin.conf
-rw-r--r-- 1 root root 1229 nov. 28 2013 syslog.conf
-rw-r--r-- 1 root root 406 août 13 2011 tac_acc.conf
-rw-r--r-- 1 root root 833 nov. 28 2013 tivoli-smc.conf
-rw-r--r-- 1 root root 821 nov. 28 2013 up2date.conf
-rw-r--r-- 1 root root 674 nov. 28 2013 vdr.conf
-rw-r--r-- 1 root root 923 nov. 3 2014 vsftpd.conf
-rw-r--r-- 1 root root 1091 nov. 28 2013 windows.conf
-rw-r--r-- 1 root root 868 nov. 28 2013 xferlog.conf
-rw-r--r-- 1 root root 132 août 13 2011 yum.conf
-rw-r--r-- 1 root root 587 nov. 28 2013 zypp.conf
- Modifié
Salut
Enfaite tu as copié la ligne d'action de vim : "# vi: shiftwidth=3 tabstop=3" dans le fichier /usr/share/logwatch/default.conf/logfiles/nginx.conf
et la balise de fermeture "code" devrait etre avant le "et"
~~~
###
Configuration pour Nginx
On va créer un premier fichier :
devrait etre :
###
Configuration pour Nginx
On va créer un premier fichier :
C'est de l'ordre du details on est d'accord, vu que la ligne en question est commentée
Enfaite tu as copié la ligne d'action de vim : "# vi: shiftwidth=3 tabstop=3" dans le fichier /usr/share/logwatch/default.conf/logfiles/nginx.conf
et la balise de fermeture "code" devrait etre avant le "et"
~~~
###
Configuration pour Nginx
On va créer un premier fichier :
nano /usr/share/logwatch/default.conf/logfiles/nginx.conf########################################################
# Define log file group for nginx
########################################################
# What actual file? Defaults to LogPath if not absolute path….
LogFile = nginx/*access.log
LogFile = nginx/*access.log.1
LogFile = nginx/*error.log
LogFile = nginx/*error.log.1
# If the archives are searched, here is one or more line
# (optionally containing wildcards) that tell where they are…
#If you use a “-” in naming add that as well -mgt
Archive = nginx/*access.log*
Archive = nginx/*error.log*
# Expand the repeats (actually just removes them now)
*ExpandRepeats
# Keep only the lines in the proper date range…
*ApplyhttpDate
# vi: shiftwidth=3 tabstop=3 etcp /usr/share/logwatch/default.conf/services/http.conf /usr/share/logwatch/default.conf/services/nginx.confdevrait etre :
###
Configuration pour Nginx
On va créer un premier fichier :
nano /usr/share/logwatch/default.conf/logfiles/nginx.conf########################################################
# Define log file group for nginx
########################################################
# What actual file? Defaults to LogPath if not absolute path….
LogFile = nginx/*access.log
LogFile = nginx/*access.log.1
LogFile = nginx/*error.log
LogFile = nginx/*error.log.1
# If the archives are searched, here is one or more line
# (optionally containing wildcards) that tell where they are…
#If you use a “-” in naming add that as well -mgt
Archive = nginx/*access.log*
Archive = nginx/*error.log*
# Expand the repeats (actually just removes them now)
*ExpandRepeats
# Keep only the lines in the proper date range…
*ApplyhttpDate
cp /usr/share/logwatch/default.conf/services/http.conf /usr/share/logwatch/default.conf/services/nginx.confC'est de l'ordre du details on est d'accord, vu que la ligne en question est commentée