• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

donc dans /usr/share/scripts-perso/logserver.sh

#!/bin/bash
#
if [ -e /var/log/nginx/rutorrent-access.log.1 ]; then
	# Récupération des logs (J et J-1) et fusion
	cp /var/log/nginx/rutorrent-access.log /tmp/access.log.0
	cp /var/log/nginx/rutorrent-access.log.1 /tmp/access.log.1
	cd /tmp
	cat access.log.1 access.log.0 > access.log
else
	cd /tmp
	cp /var/log/nginx/rutorrent-access.log /tmp/access.log
fi

sed -i '/192.168.1.10/d' access.log
sed -i '/plugins/d' access.log
sed -i '/getsettings.php/d' access.log
sed -i '/setsettings.php/d' access.log
sed -i '/AUDREY\ HTTP/d' access.log
sed -i '/DIDIER\ HTTP/d' access.log
ccze -h < /tmp/access.log  > /var/www/rutorrent/logserver/access.html

et tu modifie 192.168.1.10 par ip que tu ne veux plus voir

Impeccable !!
Merci 😉

un mois plus tard

Bonsoir,

Je viens d'effectuer le tuto, et j'ai une petite erreur.
Je ne comprend pas pourquoi mais postfix refuse catégoriquement d'envoyé un mail avec mon nom de domaine.
J'ai systématiquement root@sd-xxxxxxx.online.net en domaine affiché sur mon webmail.
Pouvez vous m'éclairer sur le sujet?
Merci d'avance,
Jordan.

    Bonjour,

    J'ai passé une bonne partie de ma soirée hier à essayer de comprendre pourquoi les mails sont envoyé depuis mon serveur avec pour domaine, sd-XXXXX.online.net et pas le domaine que j'ai spécifié au moment de l'installation de postfix.
    J'ai tenter plusieurs purge sans resultat.
    Bizarement sur une seconde machine, le même tuto a parfaitement fonctionné.
    Si quelqu'un a une idée de ou se situe le souci???
    Pareil, les mails mettent un temps fou à arriver Gmail. Alors que sur mon autre machine c'est instantané.
    Un peu perdu pour le coup '.

    Merci d'avance.

    Salut.
    Si tu envoi un mail depuis un utilisateur unix .normal quil te prenne sd***.online.net car il te prend le fichier etc/hostname ..
    Modifie le avec ton nom de domaine.

      Aerya
      Pardon, je pensais t'avoir repondu mais sur telephone l'utilisation du forum est un peu bizarre
      J'ai parcouru la majorité des tutos du site à la recherche d'element en rapport avec mon erreur sans trouver.

      xavier
      Je regarderai ce soir mais etrangement sur mon autre machine je n'ai pas changé le etc/hostname et pourtant je reçois bien les mais depuis mon domaine :/
      Je regarde ce soir!

      Merci à vous deux 😉

          Oui tout dépend..ou le nom de domain ou une variable (qui lui va lire dans me hostname)que tu as mis dans main.cf. .tout dépend comment tu as configuré posfix

          Vous êtes top, c’était bien la variable hostname qui merdait, je pensais qu'elle était définie lors de l'installation du serveur par le script Online (vu qu'on sur le site...).

          Merci 😉

          10 jours plus tard

          Bonsoir et Joyeuse fête en passant à tous !!! 🙂

          J'aurais une petite question, J'ai suivis ce tuto à la lettre et MERCI tout fonctionne. Mais la ou je me question, portsentry fonctionnait #1 jusqu'à se que j'active mes rules iptables.

          Je DROP tout et j'ouvre que les ports vitaux et ceux que j'utilises, sachant que je prend mon serveur que pour la seedbox et quelques petit trucs de plus.

          Je me demande si portsentry reste aussi important dans ce cas puisque tout est fermé, il ne scan plus rien. Devrais-je ouvrir quelque port en udp et tcp pour lui permettre de scan ou il y aurais une meilleur façon de faire.

          Désolé de ma question, je débute dans ce monde 😛 Merci à vous tous !!!

          • Nono a répondu à ça.

            Ti-Gars salut, la plupart des attaques se font sur le port 23 j'ai remarqué donc si tu Drop de ce côté il ne détectera plus les attaques mais je te conseille de le garder tu verras qu'il arrivera à En arrêter quelques-unes

                4 jours plus tard

                Nono Merci pour ta réponse. Je vais le garder quand même, mais du point de vue d'avoir tout les ports a DROP, si ils ne détecte pas les attacks les plus communes, devrais-je ouvrir quelques ports seulement pour le scan?.

                Merci à tous pour vos futures réponses.

                  24 jours plus tard

                  Bonjour tout le monde,

                  Premièrement merci beaucoup pour ce tutos et les nombreux autres qui m'ont appris beaucoup sur la gestion de mon serveur dédié.

                  Je vous expose mon problème en me doutant bien que malheureusement l'issue risque de ne pas me plaire 🙁
                  j'ai réalisé en début de semaine ces différentes choses :
                  - Serveur mail
                  - Logwatch
                  - Fail2ban
                  Ces services fonctionnent parfaitement depuis lundi et je me suis gardé la partie plus délicate pour ce week-end, la sécu SSH...
                  J'ai fais le bouffon, j'ai fermé ma console par "réflexe"..
                  Mais je pensais quand même pouvoir me reconnecter, je vous explique.
                  J'ai dans un premier temps laissé ceci :

                  PermitRootLogin yes

                  Et j'ai simplement ajouté

                  AllowUsers mon_user

                  Pour le tester "sans prendre de risques" dans un premier temps, visiblement j'ai mal évalué la part de risques car je n'arrive plus à me connecter d'une quelconque manière 🙁

                  Mon seul accès est avec WinSCP mais pas en root, donc je ne peux pas remonter en /.
                  Ai-je une chance de résoudre ce problème?
                  Peut être depuis l'interface Kimsufi?..

                  Merci d'avance

                  Salut,

                  Aucun problème 🙂 Reboot en mode rescue, tu montes ta partition, te chmod dedans et tu peux éditer ton ssh_config 😉
                  (pour le rescue cf FAQs OVH)

                  Oui en effet
                  J'avoue que j'ai paniqué un peu avant de me lancer des des recherches pour résoudre mon problème xD
                  Je pensais pas qu'une telle solution existait, pour moi j'étais foutu
                  Mais du coup tout s'est déroulé parfaitement, j'ai récupéré mes accès 😉

                  Et pour la petite histoire!
                  Ce qui c'est passé c'est qu'avec le script d'installation rutorrent & seedbox-manager mes users sont dans le chroot, donc se font jeter a chaque fois, c'était pas malin de ma part d'autoriser cet user dans le sshd.
                  Par contre pourquoi je n'avais plus accès en root aucune idée, si quelqu'un le sait ça m'intéresse. 🙂

                  Sur ceux merci encore à la communauté qui m'apprend beaucoup tout les jours depuis deux semaines

                  Bonjour, j'ai fait se tuto aprés avoir fait l'installation automatique de ex_rat. Tout fonctionne bien sauf l'envoi de mail à partir du moment où je mes un alias je ne reçois pas de mail.

                  7 jours plus tard

                  Bonsoir,

                  J'ai un petit soucis lorsque je souhaite mettre à jour mon serveur. Suite à la commande :

                  apt-get update && apt-get upgrade

                  J'ai cette erreur :

                  Les paquets suivants seront mis à jour :
  nginx
1 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 0 o/739 ko dans les archives.
Après cette opération, 2 572 ko d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer ? [O/n] o
(Lecture de la base de données... 49696 fichiers et répertoires déjà installés.)
Préparation du dépaquetage de .../nginx_1.10.3-1~jessie_amd64.deb ...
Dépaquetage de nginx (1.10.3-1~jessie) sur (1.10.2-2~dotdeb+8.2) ...
dpkg: erreur de traitement de l'archive /var/cache/apt/archives/nginx_1.10.3-1~jessie_amd64.deb (--unpack) :
 tentative de remplacement de « /etc/default/nginx », qui appartient aussi au paquet nginx-common 1.10.2-2~dotdeb+8.2
dpkg-deb : erreur : le sous-processus coller a été tué par le signal (Relais brisé (pipe))
Des erreurs ont été rencontrées pendant l'exécution :
 /var/cache/apt/archives/nginx_1.10.3-1~jessie_amd64.deb
[ Rootkit Hunter version 1.4.2 ]
File updated: searched for 174 files, found 136
E: Sub-process /usr/bin/dpkg returned an error code (1)

                  Est ce que quelqu'un pourrait m'aider à réparer ?

                  Merci d'avance.

                  Bonsoir,

                  je voudrais savoir @Gaume d'où provient Nginx ? Quel dépôt ? Les 2 ? Il n'y aurait pas un (ou des) doublon(s) ? Je fais référence aux divers fichiers présent dans le répertoire apt (dont notamment le fichier sources.list).
                  Grosso modo, disons qu'il vaut mieux se servir d'un unique dépôt (soit Nginx, soit Dotdeb) avec Debian. Autrement, cela risque de créer des soucis (comme celui-ci)...

                  ls -all /etc/apt;
nano /etc/apt/sources.list; 
ls -all /etc/apt/apt.conf.d;

                  En tout cas, je n'ai eu aucun souci avec cette mise à jour que je viens d'effectué (à l'instant et ce via la commande apt).

                  PS : Néanmoins, cela n'aurait pas été un peu plus judicieux de créer une nouvelle discussion, non ? Flarum dispose de cette fonctionnalité ? Je l'ignore...
                  Du coup, merci @Ti-Gars car désormais elle existe (n°9108). Donc, je résume, il semblerait que cette fois cela suffira de le réinstaller et ce en ayant juste au préalable supprimer (déinstaller) le paquet nginx-common (mais le lendemain ce fut au tour de nginx).

                  Dotdeb wrote:

                  Dotdeb won’t provide any package of PHP 7.1 and later [...]
                  I’ll keep publishing updates of PHP 5.6 for Wheezy and PHP 7.0 for Jessie as long [...]
                  other Dotdeb packages are unaffected by this decision [...]

                  NB : Je viens de l'apprendre (via cette page). Ainsi, pour le remplacer, il aurait notamment : "deb.sury.org" via lequel on retrouve(ra) des paquets (dont notamment php_v7.1) également pour d'autres architectures (dont l'armhf et l'arm64).

                  7 jours plus tard

                  Salutations à tous !

                  Je me permets de vous déranger un petit peu pour solliciter votre aide...
                  Tout fonctionne apparemment, même la sécurisation, c'est vous dire si un noob comme moi s'en sort bien 🙂

                  Cependant, je trouve étrange que les mails de logs provenant de LogWatch soient entièrement vierges... je n'ai qu'une simple barre horizontale et c'est tout ! Je ne sais pas d'où ça vient, et c'est comme ça depuis le début que j'ai installé la box. Mais au départ je ne m'en étais pas soucié plus que ça, car la box n'était pas encore clairement active. Donc pour moi c'était normal. Mais aujourd'hui, elle tourne et ronronne comme un charme, et je trouve dommage de ne pas avoir plus d'infos par mail. Je souhaiterais donc savoir d'où ça peut provenir.

                  J'aurais aussi une requête : j'aimerais savoir comment faire pour m'envoyer un mail des logs concernant les diverses informations que l'on peut avoir sur la page "http://ip_server/rutorrent/logserver/access.html" ?
                  Je voudrais le recevoir à chaque génération de la nouvelle page. Est-ce possible ?

                  Et pour finir, m'en fous si je suis en retard, mais je vous transmets tous mes bons sentiments pour cette année 2017 ! Voilà... ça c'est fait

                  Merci à celles et ceux qui m'apporteront leurs lumières !

                  Au plaisir,

                  V77