Bonjour,

J’ai suivi ce tuto:
sorrodje.alter-it.org/index.php? … debian-6-0

Que je résumé ici pour la partie fail2ban qui semble très simple.
Dois-je faire autre chose d’utile ?
Je suppose que le bantime est le même pour tous les accès et se définit par le défaut ?
Je risque quoi si je passe le délai à24h et 4 essais ?

Ci-dessous le résumé du tuto.
Bannir pour une durée donnée ( par défaut 10 Mn ) les adresses ip qui font X erreurs (3 par défaut , 6 par défaut pour ssh) lors de leur tentative de connexion à tel ou tel service du serveur. Un serveur est soumis à de nombreuses agressions (tentatives d’intrusion) d’où l’intérêt de bannir ceux qui tente leur chance.

ATTENTION : il est noté ci-dessous 3456 comme étant le port ssh du serveur. Il était à 22 par défaut. Vous l’avez changé en un port personnalisé. Remplacez cette valeur par votre port persoinanlisé.

Après une installation fraîche, fail2ban est configuré pour surveiller uniquement le ssh , et bannir 10 mn les IP commettant 6 échecs consécutifs de connexion. Pour cela il faut éditer le fichier /etc/fail2ban/jail.conf et modifier la partie liée à ssh.

(cherchez et modifier. Vous devez modifier le port ssh et vous pouvez aussi modifier le nombre de tentatives avant bannissement.)

[quote][…]
[ssh]
enabled = true
port = 3546
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
[…] [/quote]

Bonne journée

Vais finir par croire que tu as des actions boursières …

Pub pour Pub!!!

Le Wiki Officiel: [size=150]wiki.debian-fr.org[/size] Validé, par la communauté [size=150]debian-fr.org[/size]!

Cela ne répond pas a mes question.
Je pense que tu n’as pas compris le mot “novice” que j’ai expliqué avec un exemple sur la musique que tu n’as pas du lire.
… du coup j’ai encore plus de question après avoir lu.

1 /
Contrairement au wiki mon fichier jail.conf, dan la partie defaut, est ainsi :

Je pige tellement rien que je ne sais pas quoi faire.

Dans mon fichier c’est rien de ces deux cas par defaut:
action = %(action_)s

Que choisir ?

3/
ignoreip = 127.0.0.1
Je ne laisse que celle-là ?
Je n’en ajoute pas ?

4/
destemail = root@localhost
Je suppose qu’il faut noter une adresse email valide du genre moi@mon_fai.fr

5/

Aucune précision sur leur utilité, je vais ne vais donc pas y toucher à moins que vous pensiez que l’un de ces outils soit utile pour un forum phpbb.
Ne me demandez pas d’aller fouiller google pour chaque outils, je vais encore avoir plus de question, je ne vais pas bien comprendre. J’espère juste un peu d’aide pour une mise en application.

6/
Jail local, et autres. Aucune information sur leur utilité…

nb :
Chercher seul sans trop savoir ce que l’on cherche, pour lire ce que l’on a trouver sans trop savoir si c’est bien ce qu’il fallait trouver, sans réellement comprendre ce qui est noté. Cela met dans un état de nerf qui n’a pour conséquence que le dégout de la gestion d’un serveur. N’oubliez pas que vous êtes des habitués, voir pour certain des experts. Face à vous vous avez des novices. Les novices ne peuvent pas se mettre à votre niveau, c’est don à vous a vous mettre au leur. A moins que le but de voter forum ne soit pas d’aider, ou soit restreint aux personnes déjà rompues a la gestion d’un serveur.

Bonne journée
Bonne journée

Salut,

[quote]Je risque quoi si je passe le délai à24h et 4 essais ?[/quote]Quel risque ? Aucun. Juste que les ip seront bannies pour 24 heures après 4 essais ratés.

On te demande de choisir entre les deux:

# action = %(action_)s action = %(action_mwl)s
Sachant qu’au dessus ces variables sont normalement définies:

[code]# The simplest action to take: ban only
action_ = %(banaction)s[name=%(name)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

ban & send an e-mail with whois report to the destemail.

action_mw = %(banaction)s[name=%(name)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois[name=%(name)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"][/code]

[quote]ignoreip = 127.0.0.1[/quote]Il est prudent d’ajouter l’ip à partir de laquelle tu te connecte. Si elle est variable, évidemment tu ne mets rien…

[quote]destemail = root@localhost
Je suppose qu’il faut noter une adresse email valide du genre moi@mon_fai.fr[/quote]Si tu as un serveur mail qui fonctionne, ET SI tu as placé l’action par défaut àaction = %(action_mwl)s

[quote]action = %(action_mwl)s[/quote]Apache ? Postfix ? smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s ? ça ne te dit rien ?

[quote]Jail local, et autres. Aucune information sur leur utilité…[/quote]Il faut faire un petit effort tout de même…

L’administration d’un serveur n’est pas simple, personne n’a dit le contraire.
L’explication est claire (simple, c’est vrai, mais claire):[quote]Fail2ban lit des fichiers de log comme /var/log/pwdfail ou /var/log/apache/error_log et bannit les adresses IP qui ont obtenu un trop grand nombre d’échecs lors de l’authentification.[/quote]
Donc… lorsque que quelqu’un essaye d’accéder à un service qui réclame un mot de passe (ssh, pop3, une page apache avec mot de passe…), fail2ban le repère dans les logs, et banni le vilain.
A toi de déterminer les services que tu souhaite protéger.

Pour l’action
Si je choisi avec email je suppose que l’adresse mail de réception va être bombardé de mail après quelques temps, non ? Surtout pour un serveur qui contiendra un forum public. Et l’utilité d’avoir un email à chaque fois … ? pas pour mon cas je suppose.
Donc pour le moment je vais choisir la 1Ere option. Bannir et c’est tout.
action = %(action_)s

IP
Je vais ajouter mon ip si elle est fixe (je vais vérifier)

destemail = root@localhost
Donc inutile pour mon cas.

fail2ban sur services
ok, à configurer pour chaque service sité
Apache ? Postfix ? smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s ?

Je comprend donc que chacun de ses services sont indépendant et demande une gestion particulière.

L’explication est claire (simple, c’est vrai, mais claire):
Sur l’utilité général oui, c’est clair. Mais dans le détail c’est confus dans le sens où un novice peut comprendre plusieurs choses. Car il ne sait pas ce qui est et ce qui n’est pas, il ne sait pas ce qui peut être et ne peut pas être, etc.
Je comprend au fur et à mesure. Grâce à vos aides beaucoup et grâce au wiki un tout petit peu.

Je poursuit de ce pas.
Bonne journée

Suite

Un bel exemple de ce qu’un novice ne peut pas trouver seul.
Et sur google je n’ai rien trouvé qui réponde à cette question.

Pour ajouter une deuxieme ip à
ignoreip = 127.0.0.1

Je le note comment, je sépare d’une virgule ?
ignoreip = 127.0.0.1, mon_ip

Bonne journée

Salut,

Un espace:

[code][DEFAULT]

“ignoreip” can be an IP address, a CIDR mask or a DNS host

ignoreip = 127.0.0.1/8 xxx.xxx.xxx.xxx/32 xxx.xxx.xxx.xxx/32
#ignoreip = 127.0.0.1/8
bantime = 6000
maxretry = 3[/code]

Si je comprend je dois ajouter aussi /8 si c’est local et /32 si c’est distant ?
ip/8 = ip local du serveur
ip/32 = ip perso distante du serveur

Et donc pourquoi dans portsentry elle est ainsi : 127.0.0.1/32

J’aurai besoin d’aide sur ces services.
Car en fait je ne suis pas certaine de comprendre et je suis certain que je n’en ai pas compris certain. Certainement.

[pure-ftpd] = Accès ftp (exemple : ???)
[dovecot-pop3imap] = Gestionnaire email en pop3 (inutile si vous n’avez pas besoin de gestion des service d’email ou si vous ne comptez pas utilisez votre serveur pour le faire.)
[webmin-auth] = un genre de ispconfig ??
[roundcube] = Nécessite d’installer un pugin, utilitaire pour lire et envoyer des mails depuis votre navigateur internet.
[squirrelmail] = idem, un autre outils pour lire ses mail depuis un navigateur internet.
[apache-admin] = Accès http du serveur, l’accès à votre site web par exemple.
[apache-404] = ???

Rhôooo ,à ben …

Un peu d’aide pour fail2ban

Bha oui et ?
J’ai pour habitude de chercher de l’aide sur plusieurs forum.
Tu peux aussi chercher sur developpez.net
Quand à l’utilité de ton message …
Une aide constructive aurait été plus judicieuse…

Salut,
Effectivement, tu multiplie les demandes, et les endroits ou tu poste. Il vaut mieux essayer d’éviter le “flood”.
Tu n’as pas obtenu de réponses ici ?

Concernant les adresses, je te suggère de lire ctte page: en.wikipedia.org/wiki/IPv4_subnetting_reference
Ça t’aidera à mieux comprendre le “netmask”

Pour ce qui est de fail2ban.
J’ai le sentiment que tu n’as pas bien saisi.

Le principe est ultra simple. Fail2ban épluche les logs à la recherche d’erreur d’authentification. Lorsqu’il en trouve, et qu’elle sont répétées, il estime qu’il y a une tentative d’attaque. Il procède alors à une action.
C’est toi qui décide du comportement de fail2ban:

Que chercher dans les logs ?
Quel nombre d’échec avant l’action ?
Quelles actions (ban, mail, rien…) ?
La durée du ban.

Fail2ban est fort, il peux lire les fichiers de logs de plein de services (ssh, ftp, xinet, pam, apache, postfix, sasl…). Tu peux même créer tes propres filtres.

Il suffit de définir les services que tu souhaites surveiller.
Nous ne pouvons pas le faire à ta place.
Tu parles par exemple de Webmin. Est-il installé sur ta machine ? Non, alors passe à autre chose!
Pareil pour Roundcube, squirrelmail, pure-ftp, etc.

Pour ce qui est de Apache… J’ai donnné deux exemples:
Apache-admin et apache-404. Ces filtres sont particuliers. Cette fois-ci fail2ban va chercher dans les logs les tentatives de connexion à aux répertoires contenant “admin” (filtre apache-admin) et les 404-not found trop répétés (apache-404) ; Ceci afin d’éviter les rigolos qui scannent tes sites un peu trop profondément…

Ne t’emmerde pas, commence par les filtres proposés par défaut.

J’espère que c’est plus clair.

Ok, je cherchais à en faire trop, il faut avancer
Je vais débuter avec ce que j’arrive à comprendre.
Tanpis s’il y a une faille.
Je verrais ces failles une fois le serveur en route.

Je met /8 et /32 quand tu me le dis sans chercher à comprendre.
Je te montrerai le résultat total que je passer mon tuto finit sur le forum.

Pour l’utilité de fail2ban je pense avoir bien saisie.

Seul détail je ne sais pas si j’utilise le ftp.
Je pense que tout se passe en http, mais je ne suis pas sure.

EDIT :
Selon les information ci-dessous. Et si j’ai bien compris.
Il me faut donc surveiller chacun de ces services.

Comment connaitre le nom exacte à écrire dans fail2ban pour chaque service ?
Ainsi que les paramètres à lui intégrer.
En regardant le tuto wiki je vois que les nom ne correspondent pas exactement et que apache à même 4 entêtes différentes.

Les ports ouverts par défaut sur les serveurs OVH sont :
21 - ftp (le serveur FTP, à laisser selon utilisation).
22 - ssh (l’accés au shell crypté, à laisser !).
23 - telnet (l’accés au shell non crypté, à laisser en dépannage).
25 - smtp (le serveur de courrier sortant, à laisser dans la plupart des cas).
53 - dns (le serveur DNS, à laisser dans la plupart des cas).
80 - http (le serveur web, à laisser).
110 - pop3 (l’accés aux mails, à laisser dans la plupart des cas).
143 - imap (l’accés aux mails, à laisser si vous n’utilisez pas pop3).
443 - https (l’accés au web crypté, à laisser selon votre utilisation).
1000 - webmin (panneau de configuration du serveur, à laisser si vous vous en servez).

Merci

Salut,

Il faut surveiller les services installés.

Le nom n’a pas d’importance. Le port sur lequel le service écoute si.

Tu veux dire les ports ouverts par iptables ? Oui si tu suit le modèle iptables donné par OVH.

Il faudrait tout de même savoir ce qui tourne sur ton serveur si tu souhaites le sécuriser…

Ok je pense avoir compris mes erreurs.

EDIT :

1/
Comment sait-on quels services sont activés sur le serveur ?
Mise à part ce que me dis le tuto ovh.

2/
Il me semble bien que tout est en false sur les surveillances sauf ssh.

Dois je supprimer tout ce qui se trouve après ceci :
[b]# Generic filter for pam. Has to be used with action which bans all ports

such as iptables-allports, shorewall[/b]

Puis je le remplace par les informations/commandes relatives au service en activités sur le serveur ?

3/
Les services pam-generic, xinetd-fail, ssh-ddos, vsftpd etc ne soit pas des services activés mais non listés pour une quelconque raison ? Ils ne sont pas listés comme service ouvert (voir ma liste précédente).

Je dis cela car apache n’est pas listé non plus comme service activé dans le tuto.

Merci

Salut,
Je te suggère une recherche sur le Net! Tout y est.

google.com/m?oe=utf-8&q=debi … ng+process