Vous n'êtes pas identifié(e).
Pourriez-vous m'aider à trouver et installer le bon module pour que mon PC gère mieux sa température ? Merci beaucoup
En faisant des essais, fail2ban se déclenche bien :
L'entrée est bien apparue dans iptables :
J'ai écrit "mon-ip-a -l-envers" car au lieu de 109.190.xxx.yyy, il est écrit yyy-xxx-190-109.dsl.ovh.fr
Pour le reste, je ne comprends pas bien ce qui est écrit mais la configuration par défaut de fail2ban
Pourtant, je peux toujours aller charger une adresse existante :
On voit bien que j'ai pu charger une page à 11:07:44, après le bannissement survenu à 11:07:38
Qu'est-ce que j'ai oublié ?
Merci beaucoup pour votre aide.
[EDIT]
Comme je disais, fail2ban lance également un script à moi qui enregistre l'IP concernant dans un base de données.
Si l'IP concernée est retrouvée plus d'un certain nombre de fois en un certain temps, je rajoute une règle dans iptables et dans /etc/iptables/rules.v4 pour la bannir définitivement...
Cette méthode fonctionne très bien elle. Tellement bien... que je me suis banni et ne peux plus accéder au serveur, même pas en ssh !
Il faudrait peu-être que je trouve la bonne syntaxe pour interdire l'IP sauf sur le port SSH
Je suis en train de télécharger Tails pour me connecter depuis une fausse IP, je n'arrive pas à trouver de fournisseur de VPN gratuit…
REGLE : merci homebrewvpn
En tout cas, ça confirme que les directives iptables inscrites naturellement par fail2ban ne fonctionnent pas.
Pourquoi ? Ça reste un mystère… Peut-être ne faut-il pas utiliser iptables-mutiport comme action de bannissement mais autre chose ?
[EDIT2]
Bien j'ai pu régler mon problème : il fallait écrire dans /etc/fail2ban/jail.d/default-debian.conf :
Je n'ai pas bien compris le différence, mais il se trouve que ça fonctionne avec allports...
, même après avoir redirigé correctement le port 19999 du routeur.
Mais ça ne répond pas tout à fait à ma question :
Dans l'idéal, j'aimerais [que fail2ban] bloque simplement un IP qui reçoit plus de 5 erreurs 404 en [10s] par exemple, mais je ne vois pas trop comment lui écrire cette règle sans risquer trop de faux positifs.
Si j'ai bien compris, le module security renvoie une erreur 403 à certaines requêtes en fonction de différents shémas, enregistrés dans /usr/share/modsecurity-crs/rules/ . Il en bloque en effet certaines requêtes, par exemple en cas de tentative d'injection de code.
Le module evasive ne bloque que les requêtes qui cherche à mettre le serveur en DoS, en demandant le même page avec insistance. Ca fonctionne en effet, mais uniquement en faisant plusieurs fois la même requête.
J'ai installé également fail2ban, qui lui apparemment, ne se base que sur les fichiers de log pour interdire une IP si la même trame dans les logs est trouvée plusieurs fois de suite (par exemple dans le cas ou le module security d'apache bloque plusieurs requêtes à la suite).
Dans l'idéal, j'aimerais qu'il bloque simplement un IP qui reçoit plus de 5 erreurs 404 en 5s par exemple, mais je ne vois pas trop comment lui écrire cette règle sans risquer trop de faux positifs.
En effet, hier soir en lisant les accès au serveur, une même IP a essayé une page inexistante par seconde pendant plus de 20 minutes sans être inquiétée, si ce n'est une dizaine de blocages par le module security.
Serait-ce une erreur de configuration ou est-ce que des erreurs 404 répétées ne déclenche aucune alerte si les pages demandées sont différentes ?
Merci pour votre aide.
EDIT : @toto : Merci pour la mise en forme, j'essaierai de faire plus attention...
$
Mais ça semble fonctionner, en revanche uniquement pour apache.
J'ai donc suivi ton conseil et installé également fail2ban mais activé uniquement pour sshd et vsftpd. En effet, pour apache, il me renvoie une erreur, il semble ne pas trouver le fichier /etc/fail2ban/filter.d/apache
$
Enfin idem que précédemment, j'ai l'impression que les tutos ne sont plus tout à fait adaptés à Buster.
Ceci dit, c'est très bien, ça me permet de sécuriser un peu les connexions par SSH ou FTP, Apache étant géré en interne.
Aussi, j'ai cru comprendre que ça ne servait pas à grand chose d'ajouter des règles persistantes dans iptables.
En effet, il est fort probable que ces attaques passent par des VPN, auquel cas 1/2h plus tard, l'IP en question sera probablement affectée à une autre personne.
Donc en effet, un bannissement pour 10 minutes voire un peu plus doit être largement suffisante pour faire fuir les robots.
Ceci dit, en suivant les logs d'apache, j'ai l'impression que les attaques se sont bien calmées, avant même de se faire bannir par les modules apache…
Edit à toto : Mis les BBCode du forum au propre en séparant la commande de son retour.
Pour le principe, voir le tuto qu'il est bô, là :
Oh, quel beau BB …code où comment mettre en forme vos messages dans le fofo
C'est quelqu'un qui tente de craquer la base de données ?
Je peux bloquer cette IP, mais ça fait pas une semaine qu'il est installé, j'espère ne pas devoir vérifier ce qui se passe tous les jours...
Aussi, suivant le cas, il y a écrit "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36" ou "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0", pour la même IP. Dur de savoir ce que c'est comme machine...
Ceci dit, ces 2 IPs (celle du premier message et cette dernière) ont disparu de iftop maintnenant. Peut-être en ont-ils eu marre de se casser les dents si c'était des hackers.
Ou était-ce des services de Debian qui ont tout simplement terminé leur travail ? Peut-être que je m'inquiètes pour rien quoi.
Le server a envoyé une réponse passive avec une adresse non routable. Adresse remplacée par celle du serveur.
Je ne sais pas bien ce qu'il entend par là mais ça fonctionne.
Merci d'avoir pris le temps de regarder mon cas.
Derrière, en bash, je peux récupérer la valeur, ça fonctionne plutôt bien comme ceci (en tapant à la main) :
Youpi ! J'ai bien récupéré ma valeur !
Malheureusement, quand je cherche à encapsuler ma connection ssh dans mon script bash, je ne peux plus récupérer la valeur en question :
Ah bah non
script
Malheureusement, je n'arrive pas à récupérer la sortie de vncserver.
Même connecté en ssh sur le serveur (sans l'intermédiaire du script), j'obtiens une variable vide :
Pourriez-vous m'aider à récupérer cette variable ?
Application-Level Gateway (ALG) allows customized NAT traversal filters to support address and port translation for certain applications such as, FTP, SIP, or file transfer in IM applications.
On : NAT ALG
Off: SIP ALG
On : RTSP ALG
On : PPTP ALG
On : IPSEC ALG
Connexion FTP sur TLS sur IP locale
Connexion FTP sur TLS sur IP distante (mais je me connecte toujours depuis mon réseau interne)
NOTE : étrange, il utilise Pure-FTPd, alors que sur le serveur, c'est vsFTPd qui est installé... Peut-être qu'il y a un lien ?
Pour info, ma config vsFTPd :
Tentative en SFTP, fonctionne bien et de manière identique avec l'IP locale ou l'IP distante, sauf que je n'arrives pas à créer un accès "anonyme" :
Connexion SFTP avec clés (accès complet)
Connxion SFTP avec mot de passe (chroot sur le /home/%u)
Connexion SFTP anonyme (compte "visiteur" sans mot de passe => chroot sur /home/benevole/Public)
Pour info, mon sshd_config mis à jour pour la session visiteur :
Et la config du compte "visiteur" :
Statut : Déconnecté du serveur
Suivi : CRealControlSocket::DoClose(66)
Suivi : CControlSocket::DoClose(66)
Suivi : CRealControlSocket::DoClose(66)
Suivi : CControlSocket::DoClose(66)
Suivi : CControlSocket::DoClose(66)
Suivi : CFileZillaEnginePrivate::ResetOperation(0)
Suivi : CControlSocket::SendNextCommand()
Suivi : CFtpLogonOpData::Send() in state 0
Statut : Connexion à 109.190.32.12:21...
Statut : Connexion établie, attente du message d'accueil...
Suivi : CFtpControlSocket::OnReceive()
Réponse : 220---------- Welcome to Pure-FTPd [privsep] ----------
Réponse : 220-You are user number 1 of 50 allowed.
Réponse : 220-Local time is now 11:47. Server port: 21.
Réponse : 220-IPv6 connections are also welcome on this server.
Réponse : 220 You will be disconnected after 15 minutes of inactivity.
Suivi : CFtpLogonOpData::ParseResponse() in state 1
Suivi : CControlSocket::SendNextCommand()
Suivi : CFtpLogonOpData::Send() in state 2
Commande : AUTH TLS
Suivi : CFtpControlSocket::OnReceive()
Réponse : 500 This security scheme is not implemented
Suivi : CFtpLogonOpData::ParseResponse() in state 2
Suivi : CControlSocket::SendNextCommand()
Suivi : CFtpLogonOpData::Send() in state 3
Commande : AUTH SSL
Suivi : CFtpControlSocket::OnReceive()
Réponse : 500 This security scheme is not implemented
Suivi : CFtpLogonOpData::ParseResponse() in state 3
Statut : Serveur non sécurisé, celui-ci ne supporte pas FTP sur TLS.
Suivi : CControlSocket::SendNextCommand()
Suivi : CFtpLogonOpData::Send() in state 5
Suivi : CFtpControlSocket::SetAsyncRequestReply
Suivi : CControlSocket::SendNextCommand()
Suivi : CFtpLogonOpData::Send() in state 6
Commande : USER benevole
Suivi : CFtpControlSocket::OnReceive()
Réponse : 331 User benevole OK. Password required
Suivi : CFtpLogonOpData::ParseResponse() in state 6
Suivi : CControlSocket::SendNextCommand()
Suivi : CFtpLogonOpData::Send() in state 6
Commande : PASS **********
Suivi : CFtpControlSocket::OnReceive()
Réponse : 530 Login authentication failed
Suivi : CFtpLogonOpData::ParseResponse() in state 6
Suivi : CRealControlSocket::DoClose(1094)
Suivi : CControlSocket::DoClose(1094)
Suivi : CFtpControlSocket::ResetOperation(1094)
Suivi : CControlSocket::ResetOperation(1094)
Suivi : CFtpLogonOpData::Reset(1094) in state 6
Erreur : Erreur critique : Impossible d'établir une connexion au serveur
Suivi : CFileZillaEnginePrivate::ResetOperation(1094)
Aussi,
J'ai du mal à comprendre la différence profonde entre FTP sur TLS et FTP sur SSH (SFTP).
J'ai cru comprendre que sur SFTP était plus sécure mais je ne suis pas certain. Aussi, je n'ai pas réussi à obtenir cette même configuration dans ma config ssh :
Voici ce que j'aimerais :
Une connexion ssh complète possible pour les membres du groupe sshusers (moi et d'autres éventuels admin) ainsi qu'un accès à l'ensemble du serveur (connexion par clé)
Une connection au serveur de fichiers et à leur /home/ en lecture/écriture pour les utilisateurs classiques (sftp/ftps ?). Pour le moment, il n'y a qu'un compte générique "benevole".
Un accès anonyme au serveur de fichier bloqué sur le dossier /home/benevole/Public/ en lecture seule.
Le tout accessible depuis l'extérieur, et de la façon la plus simple possible (la plupart des gens concernés ne sachant pas utiliser un ordinateur au-delà de l'explorateur de fichiers et de leur navigateur web).
Si vous avez des idées et/ou des conseils, je suis tout ouïe.
Connexion à 109.190.32.12:21...
Statut : Connexion établie, attente du message d'accueil...
Statut : Serveur non sécurisé, celui-ci ne supporte pas FTP sur TLS.
Commande : USER anard
Réponse : 331 User anard OK. Password required
Commande : PASS *********
Réponse : 530 Login authentication failed
Erreur : Erreur critique : Impossible d'établir une connexion au serveur
Il ne semble plus supporter TLS en mode distant... Pourquoi ?
ECONNREFUSED connexion refusée par le serveur
Je ne comprends pas ce qui se passe, j'ai essayé plein de paramètres sans trop de résultat.
Voici mon /etc/vsftpd.conf, il y a un login anonyme qui pointe vers un dossier public, les autres logins sont bloqués sur le dossier utilisateur et le mien (dans /etc/vsftpd/chroot.list) peut tout voir :
Je pense qu'il y a quelque chose que je n'ai pas compris avec iptables, je ne sais pas trop s'il y a un firewall d'activé sur le serveur :
Le port 21 (TCP) de ma box redirige bien vers l'adresse locale du serveur.
J'ai essayé de désactiver complètement le firewall de ma box sans résultat non plus.
Merci beaucoup pour votre aide.
EDIT :
Status du démon VsFTPd
J'ai refait apt install firmware-amd-graphics pour montrer que c'est désormais bien installé.
Egalement, après une mise en veille, l'écran devient quasi inutilisable, il clignote à gogo...
Merci pour votre aide.
Ce n'est pas une DFLinux que j'ai installée, j'ai directement été chercher une iso Stretch xfce (9.0.4 je crois).
J'avoue que si je pouvais simplement sauvegarder un fichier de configuration et le copier au bon endroit par un truc comme ça, ça m'arrangerait bien
J'ai fais également divers réglages dans les préférences du Terminal et de diverses applications et j'aimerai pouvoir récupérer tous ces réglages sans avoir à y revenir...
Aussi, je ne sais pas bien comment faire pour modifier une ligne dans un fichier de configuration. Par exemple, pour activer l'ouverture de session automatique, je dois décommenter certaines lignes dans /etc/lightdm/lightdm.conf
Je ne veux pas copier directement mon fichier lightdm.conf de peur que ce fichier ait été légèrement modifié dans les iso Debian de mes essais et de mon install réelle, risquant de rendre mon système instable ou inutilisable. Ce fichier n'est qu'un exemple, il y en a d'autres que je cherche à modifier...
Voici ce que je fais pour le moment :
Est-ce qu'une commande pourrait me permettre de faire ce genre de manipulation de manière automatisée, sans action de ma part ?
Merci à vous pour vos propositions de solutions