• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

@cocolabomb Oui c'est possible avec "courrier", tu peux faire des adresses du type login@nomdedomaine.com et envoyerrecevoir le contenu de logrotate, logwatch etc sur thunderbird/roundcube. C'est assez fastidieux à mettre en place la première fois mais je peux expliquer si ça intéresse du monde (et quand j'aurais le temps).

Au fait Ex_, y'aurais pas un blème dans ton script unban
iptables -D INPUT -s $IP -j DROP
ce serait pas
iptables -D INPUT -s $IP -j ACCEPT
plutôt?

J'ai un petit problème l'autre fois je pense que le serveur a banni un user et j'arrive pas à le réintégrer. Il y a un moyen de connaître les IP bannies définitivement quelque part?
Ola !
Tu m'as mis le doute mais non, je viens d'aller au nouvelles et ce serait bien DROP avec l'option -D pour unban une ip solo, on retrouve plutôt les ACCEPT sur les règles de routages apparemment .
Pour ton user, y'a bien la solution d'aller fouiller avec iptables -L mais quand il y a 3 millions d'ip t'as rapidement les yeux qui pleurent ☹
Peut-être moins prise de tête de faire un grand coup de vide avec iptables -F , de toute façon, un pénible qui reviendrait se reprendrait un ban direct donc...
Faut juste penser à sauvegarder après le grand ménage si tu utilises un truc de genre " iptables-persistent ".
Iptables est totalement imbuvable
Ex.
En règle général j'ai jamais eu de problème avec Iptables. Par contre avec mon user bloqué impossible de le faire réaccéder au serv, même après un iptables -F et en désactivant fail2ban et tout. Je suis ouvert à toute suggestion. Il n'a de problème à se connecter qu'au nouveau serveur nginx, pas à l'ancien qui est sur le même port, et c'est une impossibilité globale, à tout ce qui concerne l'ip serveur.
Une idée...
Tu le retrouverez pas son ip dans /etc/hosts.deny à ton pinocchio ?
Si oui, suffit de l'effacer du fichier.
Ex.
Il était effectivement dans /etc/hosts.deny, un fichier que je ne connaissais pas. Je l'ai retiré et tout est rentré dans l'ordre. Je vais me renseigner sur le pourquoi du comment mais je pense qu'il a dû se tromper de mdp plusieurs fois. Encore merci, Ex_ !
Cool
Alors ton lascar, "à tord ou à raison", s'est fait flasher par Portsentry.
Mon naturel méfiant et mon addiction à nmap fera que j'en dirais pas plus...
Ex.
6 jours plus tard
Bonjour et merci pour ce looooooong tuto

Néanmoins j'ai du m'arrêter en cours de root route car j'ai un petit souci avec l'envoi de mail.
Jusqu'ici, tout va bien : 
echo 'Salut, je suis un email.' | mail -s 'Hello world' votre_mail@gmail.com
Par contre, lorsque je modifie : 
nano /etc/aliases
En y mettant mon adresse mail en face de root, et lorsque que j'utilise : 
echo 'Salut, je suis un email.' | mail -s 'Hello world' root
Je ne reçois aucun mail... J'ai bien fais un newaliases, mais pourtant ça ne fonctionne pas.

Une idée ?
# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
monit: root
root: mon_mail@gmail.com
Ca sent la galère de gmail ça, faudrait tester avec un autre mail pour voir. Du genre bal sur le nom de domaine pour être sur que ça filtre pas.
Ex.
Verifie si tes mails sont pas arrivés dans les spams de gmail.
Hello! D'abord ex merci pour le tuto! Je m'étais arrêté avant fail2ban dans ton tuto mais vu que y a un chinois qui pousse un peu trop à la porte je me suis décidé à continuer

Juste une petite question avant de passer à la suite dans le fichier
nano /etc/fail2ban/jail.local
vu que j'ai une IP dynamique chez moi que dois-je mettre dans le champ ignoreip ici?
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1 XXX.XXX.XXX.XXX  #<= Votre IP "maison" habituelle si fixe
Merci d'avance!
Salut
Malheureusement rien,tu t'en occupe pas de ça. c’est bien le problème des ip dynamique
Restera juste à faire attention à pas trop se louper en rentrant tes mots de passe plus tard
Le ban est réglé d'origine sur 10 minutes donc c'est pas la mort non plus si tu te loupe un jour !
Ex.
Heps j'ai un petit soucis, fail2ban me ban en temps que badbot. Ca fait plusieurs fois que ca arrive et ou je dois rebooter mon routeur ^^
J'ai desactiver le ban de badbots pour le moment. Quelqu'un saurait d'ou ca peut venir ?
http://puu.sh/8xKD3.png
L'ip entourée en rouge est la mienne ^^
salut
Surement par rapport à l'accès phpmyadmin (vu tes derniers messages )

Ouvres jail.local: 
nano /etc/fail2ban/jail.local
et passe le chiffre à au moins 3 sur "maxretry : 
[nginx-badbots]
enabled  = true
port  = http,https
filter = nginx-badbots
logpath = /var/log/nginx/*access.log
bantime = 86400
maxretry = 1
/etc/init.d/fail2ban restart
Ça devrait aller mieux après.
Ex.
11 jours plus tard
Magicalex wrote:Oui c'est ça, j'ai une regex en stock pour nginx pour ceux qui voudrons passer à nginx quand j'aurais fait le tuto.
Cette regex (mentionné ici) figure quelque part ? Si oui, j'apprécierais que quelqu'un m'indique où.

Dans le tutoriel, la config du fichier nginx-badbots.conf ne mentionne rien sur les CONNECT. J'ai consulté mes logs et cela revient assez fréquemment. Je me demande s'il ne faudrait pas les y inclurent ?
Je crois pas en avoir eu de "CONNECT" enfin ça me dis rien.
Faudrait voir une ligne complète de log, ça doit être possible d'ajouter ça.
Ex.
IP - - [Day/Month/Year:Hour:Minute:Second +0200] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 400 166 "-" "-"
IP - - [Day/Month/Year:Hour:Minute:Second +0200] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 400 166 "-" "-"
IP - - [Day/Month/Year:Hour:Minute:Second +0200] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 400 166 "-" "-"
Voici quelques exemples, tu me dis si c'est pas suffisant
17 jours plus tard
Pour la Sécurisation SSH

Je suis obliger d'AllowUsers l'utilisateur de la seedbox car sinon j'ai pas accée au ftp.
Salut tu peux en dire plus ?
Installation à la mano du serveur ftp, si oui lequel, ou script automatique ?
Si tu as suivi le tuto sécu, ton utilisateur autorisé en console n'est pas un utilisateur de la seedbox, c'est bien ok ça?

Avec mon script, les users sont chrootés et le fichier de conf ssh est édité en conséquence, normalement pas besoin d'y toucher pour que ça marche (ftp & sftp + kick en console).
Si install' manuelle, faut voir
Ex.
Installe faite grâce au script.
Si tu as suivi le tuto sécu, ton utilisateur autorisé en console n'est pas un utilisateur de la seedbox, c'est bien ok ça?
Oui c'est bien ca.

Mais après si je met juste AllowUsers NonUtilisateurSeedbox
Celuis que j'utilise pour me connecter a la seedbox et au ftp ,n'arrive plus a ce connecter au ftp, donc je suis obliger de le mètre aussi dans AllowUsers.

Ha et je me connecte sur le ftp en "sftp", je pense que le souci viens de la vue que le sftp ca marche avec ssh il me semble.
C'est exact je viens de regarder sur un vieux serveur et j'ai aussi AllowUsers toto pierre paul
Il y a eu du changement dans les tutos au passage du nginx, on chrooté pas directement avant et y'a un truc qu'a du être zappé là.

Je tente de comprendre pourquoi ça marche moi en sortie de script par rapport au tuto sécu et j'éditerai ça !
Ex.