• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

Salut

Je viens de remarquer un truc. Dans ton tuto tu écris ca :
Créer le fichier jail.local en faisant une copie de jail.conf :

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Configuration du fichier jail.local :

nano /etc/fail2ban/jail.local
Je viens de me rendre comtpe que j'ai modifié le jail.conf en faite et me demande si c'est pas le jail.conf qu'il fallait modifier plutot?
Backtoback wrote:Salut

Je viens de remarquer un truc. Dans ton tuto tu écris ca :
Créer le fichier jail.local en faisant une copie de jail.conf :

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Configuration du fichier jail.local :

nano /etc/fail2ban/jail.local
Je viens de me rendre comtpe que j'ai modifié le jail.conf en faite et me demande si c'est pas le jail.conf qu'il fallait modifier plutot?
c'est le jail.local qu'il faut modifier, parce que le jail.conf est écrasé à chaque mise à jour je crois
C'est curieux, car j'avais modifié le jail.conf, mais pour l'envoi de mail c'était le action de jail.local, et pourtant j'avais des mails.
Enfin j'ai mi comme dnas le tuto
salut,

je suis entrain de suivre le tuto.

pour les filtres nginx antibots la regex recherche un code http 404. Pour les personnes qui protège tout le serveur le bot va récup un code http 401.
Je me demande si la regex va fonctionner.
Justement j'ai une petite erreur à vous montrer :
--------------------- nginx Begin ------------------------

A total of 1 sites probed the server
222.75.34.253

Requests with error response codes
400 Bad Request
/w00tw00t.at.ISC.SANS.DFind🙂: 1 Time(s)
\x00\x009\x00\x008\x00\x005\x00\x00\x16\x00\x00\x13\x00\x00: 1 Time(s)
null: 1 Time(s)
401 Unauthorized
/admin/config.php: 2 Time(s)
/: 1 Time(s)
/HNAP1/: 1 Time(s)
/THI0: 1 Time(s)
/rutorrent/: 1 Time(s)

---------------------- nginx End -------------------------
Pour l'anti-bot, je dirais qu'en 401 non il va passer a travers. Mais j'ai remarqué que quand tu arrives sur la box tu as le droit à un 401 aussi dans le log et la regle ban à 1 tentative donc c'est peut-être un peu chaud, je sais pas trop...

ex. chez moi: 
109.190.x.x - - [12/Mar/2014:17:53:47 +0100] "GET / HTTP/1.1" 401 188 ...."
109.190.x.x - exrat [12/Mar/2014:17:53:50 +0100] "GET / HTTP/1.1" 200 2362 ...."
Y'a toujours la possibilité de modifier la fin des regles en (401|403|404|etc...) mais il va se passer quoi pour le type qui va arriver sur son vrai phpmyadmin avec son 401 avant identification ? Faudrait faire des test avant de kicker tout le monde
Ex.
J'ai pas du tout compris.
Je n'ai pas phpmyadmin
Mon post était en réponse à l'idée de Magicalex par rapport à Fail2ban et aux erreurs 401 😉

Pour ton log, t'inquietes pas, y'a rien d'anormal. On se fait taper 24/24 par un tas de bots qui tentent leurs chances au hasard, c'est pas bien embettant et Fail2ban en bloque une bonne partie.

Tant que ton port ssh est bien protégé, t'es relativement tranquille.
Ex.
13 jours plus tard
A la suite du tuto sur la sécurisation, plus précisément dans dans la partie :
Test : 
rkhunter -c --sk
Note de @XciD69: Vous obtiendrez des faux positifs, poster-les, je vous aiderai à les résoudre.
J'ai semble t'il quelques faux positifs :
    /usr/bin/unhide.rb                                       [ Warning ]
  Performing Linux specific checks
    Checking loaded kernel modules                           [ Warning ]
    Checking kernel module names                             [ Warning ]

Checking the network...

  Performing checks on the network ports
    Checking for backdoor ports                              [ Warning ]
    Checking for hidden ports                                [ Skipped ]
C'est grave docteur ?
Je ne pense pas, j'ai la même chose en Netboot chez OVH.
je crois que j'ai un faux positif. La seule erreur que j'ai eu durant le scan
Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /usr/sbin/adduser                                        [ OK ]
    /usr/sbin/chroot                                         [ OK ]
    /usr/sbin/cron                                           [ OK ]
    /usr/sbin/groupadd                                       [ OK ]
    /usr/sbin/groupdel                                       [ OK ]
    /usr/sbin/groupmod                                       [ OK ]
    /usr/sbin/grpck                                          [ OK ]
    /usr/sbin/nologin                                        [ OK ]
    /usr/sbin/pwck                                           [ OK ]
    /usr/sbin/rsyslogd                                       [ OK ]
    /usr/sbin/tcpd                                           [ OK ]
    /usr/sbin/useradd                                        [ OK ]
    /usr/sbin/userdel                                        [ OK ]
    /usr/sbin/usermod                                        [ OK ]
    /usr/sbin/vipw                                           [ OK ]
    /usr/bin/awk                                             [ OK ]
    /usr/bin/basename                                        [ OK ]
    /usr/bin/chattr                                          [ OK ]
    /usr/bin/curl                                            [ OK ]
    /usr/bin/cut                                             [ OK ]
    /usr/bin/diff                                            [ OK ]
    /usr/bin/dirname                                         [ OK ]
    /usr/bin/dpkg                                            [ OK ]
    /usr/bin/dpkg-query                                      [ OK ]
    /usr/bin/du                                              [ OK ]
    /usr/bin/env                                             [ OK ]
    /usr/bin/file                                            [ OK ]
    /usr/bin/find                                            [ OK ]
    /usr/bin/groups                                          [ OK ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ OK ]
    /usr/bin/less                                            [ OK ]
    /usr/bin/locate                                          [ OK ]
    /usr/bin/logger                                          [ OK ]
    /usr/bin/lsattr                                          [ OK ]
    /usr/bin/lsof                                            [ OK ]
    /usr/bin/mail                                            [ OK ]
    /usr/bin/md5sum                                          [ OK ]
    /usr/bin/mlocate                                         [ OK ]
    /usr/bin/newgrp                                          [ OK ]
    /usr/bin/passwd                                          [ OK ]
    /usr/bin/perl                                            [ OK ]
    /usr/bin/pgrep                                           [ OK ]
    /usr/bin/pkill                                           [ OK ]
    /usr/bin/pstree                                          [ OK ]
    /usr/bin/rkhunter                                        [ OK ]
    /usr/bin/runcon                                          [ OK ]
    /usr/bin/sha1sum                                         [ OK ]
    /usr/bin/sha224sum                                       [ OK ]
    /usr/bin/sha256sum                                       [ OK ]
    /usr/bin/sha384sum                                       [ OK ]
    /usr/bin/sha512sum                                       [ OK ]
    /usr/bin/size                                            [ OK ]
    /usr/bin/sort                                            [ OK ]
    /usr/bin/stat                                            [ OK ]
    /usr/bin/strings                                         [ OK ]
    /usr/bin/sudo                                            [ OK ]
    /usr/bin/tail                                            [ OK ]
    /usr/bin/test                                            [ OK ]
    /usr/bin/top                                             [ OK ]
    /usr/bin/touch                                           [ OK ]
    /usr/bin/tr                                              [ OK ]
    /usr/bin/uniq                                            [ OK ]
    /usr/bin/users                                           [ OK ]
    /usr/bin/vmstat                                          [ OK ]
    /usr/bin/w                                               [ OK ]
    /usr/bin/watch                                           [ OK ]
    /usr/bin/wc                                              [ OK ]
    /usr/bin/wget                                            [ OK ]
    /usr/bin/whatis                                          [ OK ]
    /usr/bin/whereis                                         [ OK ]
    /usr/bin/which                                           [ OK ]
    /usr/bin/who                                             [ OK ]
    /usr/bin/whoami                                          [ OK ]
    /usr/bin/unhide.rb                                       [ Warning ]
    /usr/bin/mawk                                            [ OK ]
    /usr/bin/bsd-mailx                                       [ OK ]
    /usr/bin/w.procps                                        [ OK ]
    /sbin/depmod                                             [ OK ]
    /sbin/fsck                                               [ OK ]
    /sbin/ifconfig                                           [ OK ]
    /sbin/ifdown                                             [ OK ]
    /sbin/ifup                                               [ OK ]
    /sbin/init                                               [ OK ]
    /sbin/insmod                                             [ OK ]
    /sbin/ip                                                 [ OK ]
    /sbin/lsmod                                              [ OK ]
    /sbin/modinfo                                            [ OK ]
    /sbin/modprobe                                           [ OK ]
    /sbin/rmmod                                              [ OK ]
    /sbin/route                                              [ OK ]
    /sbin/runlevel                                           [ OK ]
    /sbin/sulogin                                            [ OK ]
    /sbin/sysctl                                             [ OK ]
    /bin/bash                                                [ OK ]
    /bin/cat                                                 [ OK ]
    /bin/chmod                                               [ OK ]
    /bin/chown                                               [ OK ]
    /bin/cp                                                  [ OK ]
    /bin/date                                                [ OK ]
    /bin/df                                                  [ OK ]
    /bin/dmesg                                               [ OK ]
    /bin/echo                                                [ OK ]
    /bin/egrep                                               [ OK ]
    /bin/fgrep                                               [ OK ]
    /bin/fuser                                               [ OK ]
    /bin/grep                                                [ OK ]
    /bin/ip                                                  [ OK ]
    /bin/kill                                                [ OK ]
    /bin/less                                                [ OK ]
    /bin/login                                               [ OK ]
    /bin/ls                                                  [ OK ]
    /bin/lsmod                                               [ OK ]
    /bin/mktemp                                              [ OK ]
    /bin/more                                                [ OK ]
    /bin/mount                                               [ OK ]
    /bin/mv                                                  [ OK ]
    /bin/netstat                                             [ OK ]
    /bin/ping                                                [ OK ]
    /bin/ps                                                  [ OK ]
    /bin/pwd                                                 [ OK ]
    /bin/readlink                                            [ OK ]
    /bin/sed                                                 [ OK ]
    /bin/sh                                                  [ OK ]
    /bin/su                                                  [ OK ]
    /bin/touch                                               [ OK ]
    /bin/uname                                               [ OK ]
    /bin/which                                               [ OK ]
    /bin/kmod                                                [ OK ]
    /bin/dash                                                [ OK ]

Checking for rootkits...
Je ne le connais pas vraiment rkhunter . En sortie d'install' je pense qu'il ne faut pas s'inquiéter.
Ce truc est plus utile pour la suite à mon avis, bidouillage avec des scripts sorties de nul part etc...
Ex.
Oui car le serveur est fraichement refait
19 jours plus tard
Bonjour,

J'ai suivi le tuto "[Tuto] Sécurisation & Logs V.3 {nginx}" de long en large hier, il fonctionne à merveille merci à ex_rat pour l'énorme boulot !

Cependant je suis tombé sur quelques erreurs de code dans le tuto comme :

Partie - Serveur Mail
root: mail@gmail.com
à modifié en :
root: votre_mail@gmail.com
Partie - Sécurisation SSH
mkdir /home/votre_user
useradd -s /bin/bash votre_user
passwd votre_user
chown -R user:user /home/user
à modifié en :
mkdir /home/votre_user
useradd -s /bin/bash votre_user
passwd votre_user
chown -R votre_user:votre_user /home/votre_user
Rien de méchant mais bon pour quelqu'un qui découvre le shell.... ça pourrait poser soucis.
Je te remercie, je vais voir pour rendre tout ça plus homogène
Le truc étant de bien faire une différence entre l'user "spécial console" sans semer le trouble avec le chroot des utilisateurs de la box dans sshd_config.
(pas très clair mon explication là mais j'me comprends c'est le principal 😂)
Ex.

edit: Ouais "votre_user" partout c'est pas mal ! je garde
Ola !
Une petite modification au niveau de fail2ban.
Avec nginx, nos amis les "w00tw00t" sortent dans les logs en erreur 400 ce qui n'était pas le cas avec lighttpd. Donc pour les shooter, j'ai mis à jour le tuto V3...

On ouvre : 
nano /etc/fail2ban/filter.d/nginx-badbots.conf
Et on modifie : 
# Anti w00tw00t
            ^<HOST> .*?"GET .*w00tw00t.* 404
En : 
# Anti w00tw00t
            ^<HOST> .*?"GET .*w00tw00t.* 400
On restart fail2ban et ça roule : 
/etc/init.d/fail2ban restart
Ex.
6 jours plus tard
Merci pour le tuto Ex_rat, le logserver va bien me servir les jours pluvieux ^^;

- petite remarque à la fin, il faudrait chmod +x ban.sh en plus de l'unban je crois
- une question également, j'ai vu que nicolargo proposait un "multiban" avec une règle qui surveille les logs de fail2ban et également un "contre-attaque" employant la règle "tarpit", alors est-ce que tu as écarté ces méthodes intentionnellement ou bien est-ce que tu n'as pas encore testé? Car je serais curieux de voir ça implémenté dans ta sécu.
Alors j'ai surtout été au plus simple pour le ban
Je regarderais ça, si on peut faire un truc chouette on y va !
Ex.
edit: J'ai corrigé pour le "chmod +x ban.sh" à la fin
Salut.
J'ai depuis un moment parametré le systeme de mail du tuto de securisation via mon adresse gmail.
A un moment j'ai du creer des filtres pour eviter que tout arrive dans la partie spam.
Mais maintenant il m'est carrement impossible de recuperer les mails.
J'ai une messge de
"I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system"

"Our system has detected that this message is 550-5.7.1 likely
unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1
this message has been blocked. Please visit 550-5.7.1"

Doit je comprendre que gmail ne veux plus de ces mails meme en creant des filtres ?
Salut
J'ai bien l'impression que oui... Il me semble qu'il a une procédure pour débloquer ça chez Gmail mais j'en sais pas plus.
Perso pour arrêter de me prendre le choux avec les histoires de spam et les ip moisies de d'ovh, J'envoie tout les mails serveur sur un adresse spécial du genre serveur.mondomaine.com que je fais relever par Gmail, depuis plus de soucis avec ça.
Ex.