• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

fail2ban-client --version;
fail2ban-client -t;
fail2ban-client status;
## Pour en savoir plus, il faudra reprendre cet exemple.
## En effet, il faut remplacer la fin de cette ligne (par le nom exacte) :
fail2ban-client status ssh;
## La commande précédente (status) devrait indiquer le nom de chacune des jails.
cat /etc/fail2ban/jail.local;
## Dès fois, il n'y a rien de tel qu'un redémarrage :
fail2ban-client stop;
fail2ban-client start;

Bonsoir,

voici une liste des commandes @otello86 qui devrait en donner.

Merci pour ta réponse.
Voici les 1er éléments demandés

version : Fail2Ban v0.9.6

status : Status
|- Number of jail: 4
`- Jail list: nginx-auth, nginx-badbots, sshd, vsftpd

Par contre la commande start me renvoie systématiquement : ERROR Server already running
alors que la commande stop me donne "Shutdown successfull"

Bon je viens de trouver tout seul

l'erreur semble venir du fait que le tuto fait ajouter une section [ssh] alors qu'une section [sshd] est déjà dans le fichier.
Si je mets sur enable la section [sshd] avec le port renseigné et que je retire la section [ssh] tout est ok yc les commandes stop & start

Merci

6 jours plus tard

Bon en fait j'ai parlé un peu vite car je ne les voyais plus au démarrage de fail2ban mais elles sont bien toujours là...

    15 jours plus tard

    otello86

    Hello tout le monde, j'ai moi aussi ce problème sur fail2ban :
    2017-09-18 16:50:12,972 fail2ban.transmitter [31328]: WARNING Command ['status', '-'] has failed. Received
    UnknownJailException('    -',)
    2017-09-18 16:50:13,249 fail2ban.transmitter [31328]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
    2017-09-18 16:50:13,504 fail2ban.transmitter [31328]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)

    Et j'ai l'impression que des que ces messages apparaissent il ne ban plus aucune IP. Je dois redémarrer le service pour à nouveau bloquer les attaques, jusqu'à l’apparition de ces messages à nouveau.

    Ne connaissant pas bien F2B et malgrés mes recherches/tests je ne trouve pas le souci 🙁. Donc j'attends vos lumières 🙂

    PS:
    Debian 9 première installation sur un dédié (même soucis sur Kimsufi & Online)
    script d'Ex Rat adapté à debian 9

        20 jours plus tard

        Bonjour
        Encore merci pour ce merveilleux tuto pour la sécurité. Un vrai couteau suisse.

        J'ai installé sur mon serveur les paquets suivants :

        (avec les config. mentionnés dans le tuto)

        • Serveur Mail
        • Logwatch
        • Fail2Ban
        • Portsentry
        • RKHunter
        • Surveillance de notre log d’accès à Rutorrent et bannissement.

        Que du bonheur et impressionné de voir les tentatives d'accès frauduleuses, alors que mon serveur tout neuf n'est pas encore été à la pêche aux torrents.

        Toutes les installations fonctionnent, merci encore.

        Mes questions sont :

        Si je dois changer de FAI et que mon IP changera alors que je ne connais pas encore ce nouvel IP.
        - Comment pouvoir me connecter avec ce nouvel IP ?

        Avec e banner :
        - Comment retirer une IP du bannissement ?

        IP bannie avec Fail2Ban :
        Est-il nécessaire de bannir cet IP avec e banner (ou redondance) ?
        Je ne sais pas si le bannissement avec Fail2Ban est momentanée ou définitive.

        Encore tous mes remerciements pour votre job.

          Si jamais @Peerotechnik il y a un problème, une solution existe (pour se connecter) grâce aux VPN.
          C'est quoi e banner ? Néanmoins, je présume oui ce sera de la redondance.

          Par rapport à Fail2Ban, c'est momentanée (de mémoire par défaut c'est fixé à 10 mn).
          Elle aurait pu être définitive à la condition de redéfinir la variable bantime (c'est -1 la valeur, non ?).

          ## Pour obtenir la listes des jails.
fail2ban-client status;
## Voici un exemple pour connaître la durée du ban (de la dite jail).
fail2ban-client get sshd bantime;
## Dans cet exemple, on démontre comment retirer une IP du bannissement.
fail2ban-client set sshd unbanip 127.0.0.1;
## Tandis que le but de celui-ci, c'est de rajouter une IP à la liste d'exception (ou blanche).
fail2ban-client set sshd addignoreip 127.0.0.1;

          Autrement, nous pouvons aussi le consulter : cat /etc/fail2ban/jail.local; (ou alors l'original nano /etc/fail2ban/jail.conf;)

          16 jours plus tard

          Il y a un tutoriel sur le site pour la mise en whitelist de son IP. L'idée étant de mettre son ip derrière un dns dynamique, si l'ip change, le nom de domaine dynamique ne change pas.

            Bonjour,

            Merci pour vos réponses, mais je ne vois pas trop ce qui pourrais m'aider 🙃 ❓ ❔
            shyne Je pense que ta réponse ne m'était pas destinée 😅 mais que c'était plutôt pour Peerotechnik

            Wagner La seule ressemblance que je trouve est celle avec therealcorwin et je ne vois pas de solution (j'ai déjà essayé le stop/start, cela ne change rien). Au passage, à quoi sert la commande fail2ban-client -t ❓

            Pour remettre une explication claire du "soucis" :
            Dans mon fichier /var/log/fail2ban.log, j'ai les lignes suivantes qui reviennent toutes les 5 minutes :

            2017-10-30 12:25:15,591 fail2ban.transmitter    [17347]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)
2017-10-30 12:25:15,514 fail2ban.transmitter    [17347]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
2017-10-30 12:25:15,253 fail2ban.transmitter    [17347]: WARNING Command ['status', '`-'] has failed. Received UnknownJailException('`-',)

            J'utilise Fail2Ban v0.9.6 sur Debian 9.

            Je vois pas trop où chercher ... Je pense que je vais commencer par mes Cron car l'erreur étant précisément toutes les 5 minutes, peut être que ... 🤔

                      Bonjour,

                      de rien @Vendetta1985 et c'est la même optique : "la détection d'erreur" mais c'est probablement très très très limité... Qui sait un jour cela aura peut-être grandement bien évolué.

                      @otello86 elles sont bien toujours là [...]

                      Argh je n'avais pas vu celui-ci alors j'ai cru à tort qu'il l'avait résolu.

                      @otello86 [...] ajouter une section [ssh]

                      Toutefois, cela me donne l'impression qu'il y avait une erreur de syntaxe (le nom de la jail ? Une coquille).
                      Je ne serais le dire mais nous pourrions éliminer cette piste grâce à la liste des jails (que nous pouvons obtenir via fail2ban-client status) et un extrait du fichier jail.local (j'imagine que le nom seule pourrait convenir).

                      @otello86 Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
                      Command ['status', '-'] has failed. Received UnknownJailException('-',)
                      Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)

                      À moins que cela soit la version ? Depuis quelques mois, je me sers Fail2Ban_v0.11 alors je le crains, non je ne pourrais probablement pas regarder.

                      25 jours plus tard

                      Bonsoir.
                      J'ai pas mal de souci depuis quelque temps à la réception des mails sur une boite Gmail.
                      Chose étonnante quand je test

                       echo 'Salut, je suis un email.' | mail -s 'Hello world' root

                      je ne reçois rien par contre pas de problème sur la réception du mail pour me signaler la connexion root.

                      Avez vous constaté aussi ce problème.

                        2 mois plus tard

                        dam

                        J'ai le même problème.

                        Je précise qu'avant la redirection des mails "root" le serveur mail fonctionnait, c'est dès que je rajoute

                         root: mon_email@gmail.com

                        ... que je ne reçois plus d'email de confirmation en test.

                        À ma 1re installation tout a bien fonctionné, mais à ma 2e (raz) plus du tout.

                        • dam a répondu à ça.
                            12 jours plus tard

                            Peerotechnik

                            Bonjour.
                            Finalement moi je n'ai plus de problème. Par contre quelques fois il m'arrive de recevoir un mail de ce type

                             Objet :	Cron <root@ns.....> test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
/etc/cron.daily/logrotate:
ERROR  Unable to contact server. Is it running?
error: error running non-shared postrotate script for /var/log/fail2ban.log of '/var/log/fail2ban.log '
run-parts: /etc/cron.daily/logrotate exited with return code 1

                              Plus de soucis avec

                              Fail2Ban v0.11.0.dev1

                              J'ai suivi se tuto, mon jail.local

                              fail2ban-client status
Status
|- Number of jail:      4
`- Jail list:   nginx-auth, nginx-badbots, ssh, vsftpd
                              tail -f /var/log/fail2ban.log
2018-02-06 14:00:36,683 fail2ban.filter         [22626]: INFO    Added logfile: '/var/log/nginx/rutorrent-access.log' (pos = 36433, hash = ea764a7508e2a9fd1fe8983c78ed8dc6)
2018-02-06 14:00:36,684 fail2ban.filter         [22626]: INFO    Added logfile: '/var/log/nginx/access.log' (pos = 0, hash = d41d8cd98f00b204e9800998ecf8427e)
2018-02-06 14:00:36,685 fail2ban.filter         [22626]: INFO      maxRetry: 5
2018-02-06 14:00:36,685 fail2ban.filter         [22626]: INFO      encoding: ANSI_X3.4-1968
2018-02-06 14:00:36,685 fail2ban.actions        [22626]: INFO      banTime: 600
2018-02-06 14:00:36,686 fail2ban.filter         [22626]: INFO      findtime: 600
2018-02-06 14:00:36,689 fail2ban.jail           [22626]: INFO    Jail 'vsftpd' started
2018-02-06 14:00:36,689 fail2ban.jail           [22626]: INFO    Jail 'ssh' started
2018-02-06 14:00:36,690 fail2ban.jail           [22626]: INFO    Jail 'nginx-auth' started
2018-02-06 14:00:36,691 fail2ban.jail           [22626]: INFO    Jail 'nginx-badbots' started
                              un mois plus tard

                              Pour le bannissement en tapant ban + IP à bannir :

                              Est-il possible de bannir une plage d'IP de par exemple: 26.16.0.0 à 26.16.256.256 ?
                              Si oui comment taper cette plage ?

                              ou faut-il directement aller sur iptables ?

                              Merci

                              7 jours plus tard

                              Re... 😉

                              J'ai un "petit" souci avec ma sécurisation SSH. Je n'arrive ni à changer mon port, ni interdire la connexion "non root", ni à permettre un nouvel utilisateur pour la connexion SSH.

                              Pour commencer: si je change seulement le port 22 en port xxxxx, déjà là je ne peux plus me connecter avec la console. Je précise que plusieurs ports ont été testés et que le restart de SSH a été fait.

                              /etc/init.d/ssh restart

                              Je publie mon fichier de config. de SSH pour voir si une ou plusieurs incorrections y figurent.
                              <utilisateur-nouveau> = le nom de utilisateur créer pour la connexion SSH. (décommentée si le besoin est)
                              Match user <utilisateur-rutorrent> = utilisateur créé pour le rutorrent

                              nano /etc/ssh/sshd_config

                              Mon SSH

                              # Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
# Choix des utilisateurs autorisés à se connecter,
# Ajouter nouvel user qu'on a créé plus haut.
# AllowUsers <utilisateur-nouveau>

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

Match user <utilisateur-rutorrent> # etc... note : pas d'espace entre les virgules
ChrootDirectory %h