• Serveurs

  • [Discussion] : Sécurisation & Logs {nginx} {lighttpd}

Bonjour,

tout d'abord navré @Nebukad pour cette réponse très tardive. Non je n'ai pas oublié car je n'ai pas le temps (etc) de m'occcuper de ce problème.
Non Il n'y a eu aucun souci auparavant (sur ces 8 derniers mois) alors j'ai du mal à le comprendre sic... Il s'est passé quoi ? Aucune idée car non les logs ne sont pas très parlant sic...

Au fond, nous avons la même chose. Parce que la seule différence : c'est la syntaxe (via les regex dont j'ai déjà donné un exemple dans un message précédent).
En dehors de ça, ma liste est légèrement plus longue (plus de cible) mais Fail2Ban aurait-il encore buggé ? C'est possible car je m'en souviens encore et oui je l'ai déjà signaler (même 2 ou 3 fois) sic... Cependant, il ne fut pas corrigé car j'ai vérifier (quelques fois) ces derniers mois sic...

À moins que le souci ne provienne de iptables ? J'ai découvert qu'il était totalement vide contrairement à Fail2Ban.
Au sujet de Suricata, il n'y a toujours personne ? Enfin s'il reste un aventurier fou dans les parages MDR Diantre, il aurait pu faire un effort concernant la documentation (de nos jours, elle semble assez obsolète etc).

J'ai déjà pensé à Ossec mais il faudrait une meilleur interface (j'ai beaucoup de mal avec le langage XML car comme on dit : cela n'est pas ma tasse de thé) sic...

Enfin bref, je donnerais des nouvelles plus tard. Disons que pour l'instant, j'ai divers souci IRL à résoudre...

3 mois plus tard

Bonjour,

J'ai un souci que je n'arrive pas à résoudre.
J'ai suivi la partie du tuto pour postfix mais impossible d'envoyer un email. Je ne comprends pas pourquoi.
Je cherche à l'installer sur un Raspberry Pi hébergé chez moi, mais rien ne marche.

Au début j'ai pensé que cela était due au fait que mon Raspberry Pi étant dans une DMZ. Donc j'ai suivi le tuto pour un autre dans mon réseau local. Cela ne change rien.

J'ai toujours le mm message d'erreur:

Oct 11 12:16:03 HOSTNAME postfix/postfix-script[17384]: starting the Postfix mail system
Oct 11 12:16:03 HOSTNAME postfix/master[17386]: daemon started -- version 3.1.8, configuration /etc/postfix
Oct 11 12:16:08 HOSTNAME postfix/pickup[17387]: 2166160E2A: uid=0 from=<root@HOSTNAME>
Oct 11 12:16:08 HOSTNAME postfix/cleanup[17412]: 2166160E2A: message-id=<20181011101608.2166160E2A@HOSTNAME.lan>
Oct 11 12:16:08 HOSTNAME postfix/qmgr[17388]: 2166160E2A: from=<root@HOSTNAME>, size=392, nrcpt=1 (queue active)
Oct 11 12:16:38 HOSTNAME postfix/smtp[17414]: connect to gmail-smtp-in.l.google.com[173.194.76.27]:25: Connection timed out
Oct 11 12:17:08 HOSTNAME postfix/smtp[17414]: connect to alt1.gmail-smtp-in.l.google.com[64.233.165.26]:25: Connection timed out
Oct 11 12:17:38 v postfix/smtp[17414]: connect to alt2.gmail-smtp-in.l.google.com[74.125.68.27]:25: Connection timed out
Oct 11 12:18:08 HOSTNAME postfix/smtp[17414]: connect to alt3.gmail-smtp-in.l.google.com[108.177.125.26]:25: Connection timed out
Oct 11 12:18:38 HOSTNAME postfix/smtp[17414]: connect to alt4.gmail-smtp-in.l.google.com[74.125.195.27]:25: Connection timed out
Oct 11 12:18:38 HOSTNAME postfix/smtp[17414]: 2166160E2A: to=<mymail@gmail.com>, relay=none, delay=151, delays=0.24/0.11/150/0, dsn=4.4.1, status=deferred (connect to alt4.gmail-smtp-in.l.google.com[74.125.195.27]:25: Connection timed out)

Merci pour votre aide

    Magicalex Merci pour les infos, et pour la balise que tu as rajouté.
    Le tuto date en effet, mais marchait très bien avant 🙂

    Comme c'est pour un Raspberry Pi, je suis pas trop fan de docker.

    Merci pour ta réponse

      Salut
      J'ai utilisé la partie "mail" il y a deux jours sur mon nouveau Kim' et pas de soucis d'install', les mail sortent bien.
      Le problème doit être ailleurs mais je ne peux pas t'en dire plus, désolé.
      Ex.

      Merci.
      J'ai changé la conf et utilise le SMTP de ma box FAI.
      Je comprends pas totalement. Postfix n'est pas censé être un serveur SMTP?
      Cordialement

      6 jours plus tard

      therealcorwin
      Bonjour, j'ai le meme soucis sur fail2ban que toi .As tu trouvé une solution?
      C'est 2018-10-18 10:05:22,274 fail2ban.transmitter [14908]: WARNING Command ['status', '-']
      has failed. Received UnknownJailException('      -',)
      2018-10-18 10:05:22,668 fail2ban.transmitter [14908]: WARNING Command ['status', 'Jail
      '] has failed. Received UnknownJailException('Jail',)
      2018-10-18 10:05:23,061 fail2ban.transmitter [14908]: WARNING Command ['status', 'list
      :'] has failed. Received UnknownJailException('list:',)

        10 jours plus tard

        Idem, j'ai le même problème de fail2ban. Install bonobox sur Debian 9 toute fraiche. Je n'y comprends rien.

        fail2ban-client status 0 < 17:03:21
        Status
        |- Number of jail: 8
        `- Jail list: nginx-auth, nginx-badbots, nginx-dos, postfix, postfix-rbl, ssh, sshd, vsftpd

        Ses 3 commandes reviennent toutes les 5 min.
        2018-10-28 17:00:13,019 fail2ban.transmitter [26226]: WARNING Command ['status', '-'] has failed. Received UnknownJailException('-',)
        2018-10-28 17:00:13,303 fail2ban.transmitter [26226]: WARNING Command ['status', 'Jail'] has failed. Received UnknownJailException('Jail',)
        2018-10-28 17:00:13,587 fail2ban.transmitter [26226]: WARNING Command ['status', 'list:'] has failed. Received UnknownJailException('list:',)

        Salut
        j'ai pas le temps en ce moment de tester, mais si tu veux revenir à un fail2ban brut:

        cd /etc/fail2ban

        tu backup le jail.local du script pour revenir à l’utilisation du fichier jail.conf de base:

        mv jail.local jail.local.bak

        et tu restart:

        service fail2ban restart

        là tu n'as de base que le ssh/22 sous surveillance mais tu ne devrais plus avoir d'erreurs, pour le reste il faudra trouver un autre tuto. Des machins ont du changer avec debian9, mais là je ne peux vraiment pas.
        Ex.

        Merci Ex

        J'ai déja test et c'est idem, donc de base il y a une merde mais je ne vois pas quoi.
        Je vais tenter de desinstall via purge et repartir de zéro pour voir.

        J'ai suivi le tuto de Erusaris (fail2ban en 0.11) et ça a fonctionné car plus d'erreur.
        ça m'a "juste" foutu le bordel au niveau de systemd. Impossible de lancer la commande service fail2ban avec ce tuto.
        Du coup je le lance via la commande client et ça roule mais le système en lui même n'est plus propre à ce sujet.

        Du coup surement un problème de version ou un bug dans les fichiers de conf. Bizarre car en purgeant et en réinstallant j'ai le même problème et le bug n'as pas l'air signalé chez fail2ban.

        Assez chiant tout de même. Donc si quelqu'un a une solution propre et fonctionnel, je suis super preneur afi nde sécure au mieux le serveur.

        Bonne journée.

        • 404 a répondu à ça.

          hackerman Salut

          Quel genre de désagrément tu constate avec systemd ?

          /etc/init.d/fail2ban status | start | stop

          Fonctionne ?

          Et aussi est ce que tu rencontre un problème avec la commande ?

          fail2ban-client

          Limite ce thread te viendrai pas en aide ?

          For systemd systems:
          You have to specify the backend in /etc/fail2ban/jail.conf to use systemd as follows:

          backend = systemd

          Then restart fail2ban:

          systemctl restart fail2ban

            Vu que j'ai suivi l'autre tuto de Erusaris ici 💯
            https://wiki.debian-fr.xyz/Fail2ban_v0.11.x_avec_support_IPv6_sur_Debian_Stretch
            je n'ai donc pas install fail2ban via les dépôts Debian.
            Donc la commande :
            /etc/init.d/fail2ban
            ne renvoi rien du tout.

            fail2ban-client fonctionne très bien.

            Suite au tuto vu plus haut, j'ai cela 💯

            ┌─<root @ sd-126935 in /h/leonidas>
            └─<>──» service fail2ban status

            ● fail2ban.service
            Loaded: not-found (Reason: No such file or directory)
            Active: failed (Result: exit-code) since Sun 2018-10-28 23:44:21 CET; 20h ago

            Oct 28 23:44:21 sd-126935 systemd[1]: Starting LSB: Start/stop fail2ban...
            Oct 28 23:44:21 sd-126935 fail2ban[26592]: Starting authentication failure monitor: fail2ban failed!
            Oct 28 23:44:21 sd-126935 systemd[1]: fail2ban.service: Control process exited, code=exited status=1
            Oct 28 23:44:21 sd-126935 systemd[1]: Failed to start LSB: Start/stop fail2ban.
            Oct 28 23:44:21 sd-126935 systemd[1]: fail2ban.service: Unit entered failed state.
            Oct 28 23:44:21 sd-126935 systemd[1]: fail2ban.service: Failed with result 'exit-code'.

            J'ai test ton thread et cela n'a pas aidé.
            J'utilise donc ala commande fail2ban-client restart | start | stop | reload pour l'instant.

            Merci tout de même.

            • 404 a répondu à ça.

              hackerman

              je n'ai donc pas install fail2ban via les dépôts Debian.
              Donc la commande :
              /etc/init.d/fail2ban
              ne renvoi rien du tout.

              Suis-je bête ... Bien vue

              Quand tu avais désinstallé fail2ban tu avais supprimer aussi le dossier dans /etc ?

              apt remove --purge fail2ban && rm -rf /etc/fail2ban

              Je te demande car j'ai pas eu le problème, en faite Erusaris et moi même faisons qu'un. J'ai égarer mes identifiants 🙁

              Bon sinon :

              wget https://raw.githubusercontent.com/fail2ban/fail2ban/0.11/files/debian-initd -O /etc/init.d/fail2ban
update-rc.d fail2ban defaults
service fail2ban restart

              Essaye et tiens nous au courant 🙂

                plop,

                Oui j'avais bien supprimer le dossier /etc/fail2ban après avoir désinstall la version des dépôts.

                J'ai donc tester ta modif et voila le résultat:

                ┌─<root @ sd-126935 in /h/leonidas>
└─<>──» service fail2ban restart                                    0 < 18:22:00
Failed to restart fail2ban.service: Unit fail2ban.service not found.

                En fait je pense que c'est cette partie du tuto qui a foutu la merde

                Automatisation lancement

                # cp files/debian-initd /etc/init.d/fail2ban
# chmod +x /etc/init.d/fail2ban
# systemctl enable fail2ban.service

fail2ban.service is not a native service, redirecting to systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable fail2ban

# systemctl daemon-reload
# service fail2ban restart
# service fail2ban status
 fail2ban.service - LSB: Start/stop fail2ban
   Loaded: loaded (/etc/init.d/fail2ban; generated; vendor preset: enabled)
   Active: active (exited) since Mon 2017-11-27 09:07:24 EAT; 4s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 11586 ExecStart=/etc/init.d/fail2ban start (code=exited, status=0/SUCCESS)

nov. 27 09:07:24 dev.domaine.com systemd[1]: Starting LSB: Start/stop fail2ban...
nov. 27 09:07:24 dev.domaine.com fail2ban[11586]: Starting authentication failure monitor: fail2ban.
nov. 27 09:07:24 dev.domaine.com systemd[1]: Started LSB: Start/stop fail2ban.

                Bon j'ai test sur une VM toute fraiche avec bonobox installé.
                On a le soucis de la version de fail2ban (0.9.x) installé via les dépôts et le script bonobox avec les lignes revenant toutes les 3min. (Voir mes comms plus haut)
                J'ai donc effectué la manip suivante (désinstall de la version des depots et install de la dernière version via github) :

                 # apt remove --purge fail2ban
# rm -rf /etc/fail2ban
# apt install python python-dnspython python-pyinotify gamin 
 # cd /usr/local/
# git clone https://github.com/fail2ban/fail2ban.git
 # cd fail2ban
# python setup.py install

                Et c'est la ou je n'ai pas suivi le tuto de 404 (https://wiki.debian-fr.xyz/Fail2ban_v0.11.x_avec_support_IPv6_sur_Debian_Stretch), j'ai suivi la documentation sur le github:

                Automatisation lancement:

                Please note that the system init/service script is not automatically installed. To enable fail2ban as an automatic service, simply copy the script for your distro from the files directory to /etc/init.d. Example (on a Debian-based system):

                cp files/debian-initd /etc/init.d/fail2ban
update-rc.d fail2ban defaults
service fail2ban start

                --> Et la la commande service fail2ban fonctionne nickel 🙂

                • Donc j'en déduit que les commandes suivantes du tuto foutent la merde : 
                  systemctl enable fail2ban.service
   fail2ban.service is not a native service, redirecting to systemd-sysv-install.
   Executing: /lib/systemd/systemd-sysv-install enable fail2ban
# systemctl daemon-reload
                  Je n'ai pas chercher à debug Fail2ban installé par le script de EX mais il est bon de savoir qu'il y a un petit souci (surement une connerie...)

                Plus qu'à réinstaller proprement mon serveur.
                En espérant que ça serve à d'autres.

                22 jours plus tard

                Bonjour,

                Je pose ça ici car ça m'a fait perdre bcp de temps.

                Je me suis fait ban par portcentry, via la directive:
                KILL_ROUTE="/sbin/route add -host $TARGET$ reject"

                donc j'ai lancé la commande:
                route del <mon_ip_bannie> reject

                Au cas où si cela sert à quelqu'un 🙂

                2 mois plus tard

                bonjour,

                depuis que j'ai fais le tuto j'ai un problème qui m'arrive tous les deux jours ça fait trois fois que ça m'arrive. déjà je reçoit plusieurs mail d'erreur de cron avec comme sujet : Cron <munin@kim> if [ -x /usr/bin/munin-cron ]; then /usr/bin/munin-cron; fi

                voilà le log que je reçoit :
                Can't load '/usr/lib/x86_64-linux-gnu/perl/5.24/auto/Fcntl/Fcntl.so' for module Fcntl: /usr/lib/x86_64-linux-gnu/perl/5.24/auto/Fcntl/Fcntl.so: échec d'adressage (mapping) du segment de l'objet partagé at /usr/share/perl/5.24/XSLoader.pm line 96.
                � at /usr/lib/x86_64-linux-gnu/perl/5.24/Fcntl.pm line 11.
                Compilation failed in require at /usr/share/perl5/Munin/Master/Utils.pm line 12.
                BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Utils.pm line 12.
                Compilation failed in require at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 18.
                BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 18.
                Compilation failed in require at /usr/share/perl5/Munin/Master/Update.pm line 17.
                BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Update.pm line 17.
                Compilation failed in require at /usr/share/munin/munin-update line 14.
                BEGIN failed--compilation aborted at /usr/share/munin/munin-update line 14.

                ou encore :
                Forking worker failed: Cannot allocate memory at /usr/share/perl5/Munin/Master/Update.pm line 162.

                et pour finir le dernier type :
                Can't load '/usr/lib/x86_64-linux-gnu/perl5/5.24/auto/Socket6/Socket6.so' for module Socket6: /usr/lib/x86_64-linux-gnu/perl5/5.24/auto/Socket6/Socket6.so: échec d'adressage (mapping) du segment de l'objet partagé at /usr/lib/x86_64-linux-gnu/perl/5.24/DynaLoader.pm line 187.
                � at /usr/share/perl5/IO/Socket/INET6.pm line 40.
                Compilation failed in require at /usr/share/perl5/IO/Socket/INET6.pm line 40.
                BEGIN failed--compilation aborted at /usr/share/perl5/IO/Socket/INET6.pm line 40.
                Compilation failed in require at /usr/share/perl5/Munin/Master/Node.pm line 18.
                BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Node.pm line 18.
                Compilation failed in require at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 17.
                BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/UpdateWorker.pm line 17.
                Compilation failed in require at /usr/share/perl5/Munin/Master/Update.pm line 17.
                BEGIN failed--compilation aborted at /usr/share/perl5/Munin/Master/Update.pm line 17.
                Compilation failed in require at /usr/share/munin/munin-update line 14.
                BEGIN failed--compilation aborted at /usr/share/munin/munin-update line 14.

                quand ça m'arrive je ne peux plus accéder à mon serveur je suis obliger de le redémarrer par le manager pour pouvoir y accéder. Si vous avez une piste merci d'avance

                4 jours plus tard

                Bonjour,

                On dirait que tu as un probleme de memoire.
                Si tu as un outil de monitoring, ca pourrait etre interessant d'y jeter un oeil pendant la tache cron

                Effectivement ma mémoireet le cpu sont à 100% quand cron fait bug le serveur