Applications, problèmes de configuration réseau
Messages : 76
Inscription : dim. 07 oct. 2012, 15:56

[LOG] Sécurité d'un serveur

Message par chindit »

Salut à tous

Pour une fois, il m'a pris l'envie de consulter le log de mon serveur et… ce que j'ai vu m'a fait me dresser les cheveux sur la tête…
En clair, j'ai fait ceci

Code : Tout sélectionner

sudo journalctl --since=today >> /tmp/log
Histoire de pouvoir consulter le log à mon aise.

Et j'ai quelques passages qui me posent problème:
1)Tentative d'intrusion SSH
Je trouve de très nombreuses tentatives d'intrusion SSH provenant d'une IP localisée à Hong-Kong.
Voici ce que le log me dit:

Code : Tout sélectionner

Jan 22 00:00:17 mon-serveur sshd[26546]: Failed password for root from port 38507 ssh2
Jan 22 00:00:17 mon-serveur sshd[26546]: pam_tally(sshd:auth): Tally overflowed for user root
Jan 22 00:00:19 mon-serveur sshd[26546]: Failed password for root from port 38507 ssh2
Jan 22 00:00:19 mon-serveur sshd[26546]: pam_tally(sshd:auth): Tally overflowed for user root
Jan 22 00:00:21 mon-serveur sshd[26546]: Failed password for root from port 38507 ssh2
Jan 22 00:00:21 mon-serveur sshd[26546]: Disconnecting: Too many authentication failures for root from port 38507 ssh2 [preauth]
Jan 22 00:00:21 mon-serveur sshd[26546]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=  user=root
Jan 22 00:00:22 mon-serveur sshd[29389]: pam_tally(sshd:auth): Tally overflowed for user root
Et ce code se répète pendant un petit temps.
Bien entendu, l'accès root est interdit en SSH et j'ai bloqué l'IP via iptables

Code : Tout sélectionner

sudo iptables -A INPUT -s -j DROP
Ma question est: que puis-je faire de plus pour sécuriser le serveur?

2)Mail de cron
Cron essaie de temps en temps d'envoyer un mail.

Code : Tout sélectionner

Jan 22 05:14:24 mon-serveur CROND[27892]: pam_unix(crond:session): session closed for user root
Jan 22 05:14:24 mon-serveur postfix/pickup[26075]: C16D49F76E: uid=0 from=<root>
Jan 22 05:14:24 mon-serveur postfix/cleanup[27993]: C16D49F76E: message-id=<20150122041424.C16D49F76E@mail.nomdedomaine.fr>
Jan 22 05:14:24 mon-serveur postfix/qmgr[462]: C16D49F76E: from=<root@nomdedomaine.fr>, size=5309, nrcpt=1 (queue active)
Jan 22 05:14:24 mon-serveur dovecot[380]: lmtp(27999): Connect from local
Jan 22 05:14:25 mon-serveur postfix/lmtp[27998]: C16D49F76E: to=<root@nomdedomaine.fr>, orig_to=<root>, relay=mail.nomdedomaine.fr[private/dovecot-lmtp], delay=83, delays=83/0.03/0.03/0.11, dsn=5.1.1, status=bounced (host mail.nomdedomaine.fr[private/dovecot-lmtp] said: 550 5.1.1 <root@nomdedomaine.fr> User doesn't exist: root@nomdedomaine.fr (in reply to RCPT TO command))
Jan 22 05:14:25 mon-serveur dovecot[380]: lmtp(27999): Disconnect from local: Successful quit
Jan 22 05:14:25 mon-serveur postfix/cleanup[27993]: 0F59FA0A86: message-id=<20150122041425.0F59FA0A86@mail.nomdedomaine.fr>
Jan 22 05:14:25 mon-serveur postfix/bounce[28004]: C16D49F76E: sender non-delivery notification: 0F59FA0A86
Jan 22 05:14:25 mon-serveur postfix/qmgr[462]: 0F59FA0A86: from=<>, size=7690, nrcpt=1 (queue active)
Jan 22 05:14:25 mon-serveur postfix/qmgr[462]: C16D49F76E: removed
Jan 22 05:14:25 mon-serveur dovecot[380]: lmtp(27999): Connect from local
Jan 22 05:14:25 mon-serveur postfix/lmtp[27998]: 0F59FA0A86: to=<root@nomdedomaine.fr>, relay=mail.nomdedomaine.fr[private/dovecot-lmtp], delay=0.07, delays=0.03/0/0/0.03, dsn=5.1.1, status=bounced (host mail.nomdedomaine.fr[private/dovecot-lmtp] said: 550 5.1.1 <root@nomdedomaine.fr> User doesn't exist: root@nomdedomaine.fr (in reply to RCPT TO command))
Jan 22 05:14:25 mon-serveur dovecot[380]: lmtp(27999): Disconnect from local: Successful quit
Jan 22 05:14:25 mon-serveur postfix/qmgr[462]: 0F59FA0A86: removed
Jan 22 05:15:01 mon-serveur crond[28005]: pam_unix(crond:session): session opened for user root by (uid=0)
Sauf que, comme vous le voyez, ça foire.
1)Qu'est-ce qu'il essaie de me dire?
2)Comment lui expliquer que, ses mails, il doit les envoyer à «admin@nomdedomaine.fr»?

Rtm fréquent
De temps en temps, il y a un cron fréquent pour RTM. Par exemple, il peut se déclenche 30 ou 40 fois d'affilée avec ces lignes:

Code : Tout sélectionner

Jan 22 05:22:02 mon-serveur CROND[28376]: pam_unix(crond:session): session closed for user root
Jan 22 05:23:01 mon-serveur crond[28419]: pam_unix(crond:session): session opened for user root by (uid=0)
Jan 22 05:23:01 mon-serveur CROND[28420]: (root) CMD (/usr/local/rtm/bin/rtm 39 > /dev/null 2> /dev/null)
Si je me souviens bien, RTM est utilisé par Cacti, que j'ai installé. Mais pourquoi se déclencher beaucoup, mais de temps en temps?
C'est normal?

Connexions SSH fermées
Je trouve quelques lignes sur des connexions fermées à partir d'IP louches.
Mais rien sur des connexions ouvertes. Qu'est-ce que ça veut dire? Que quelqu'un a fait «toc toc» sur le serveur puis est parti sans essayer de rentrer?

Code : Tout sélectionner

Jan 22 14:17:32 mon-server sshd[29882]: Connection closed by [preauth]
Jan 22 14:17:34 mon-server sshd[29884]: Connection closed by [preauth]
Connexion anonyme au FTP
Allez, on continue avec les intrusions…
Quelqu'un qui fait toctoc sur le FTP.
C'est bon si je vois ça ou je dois (encore) m'inquiéter?

Code : Tout sélectionner

Jan 22 14:34:41 mon-server proftpd[30732]: reverse.ip.fr (109-227-227-140.nts.su[]) - FTP session opened.
Jan 22 14:34:41 mon-server proftpd[30732]: reverse.ip.fr (109-227-227-140.nts.su[]) - USER anonymous: no such user found from 109-227-227-140.nts.su [] to ::ffff:my.ip:21
Jan 22 14:34:42 mon-server proftpd[30732]: reverse.ip.fr (109-227-227-140.nts.su[]) - FTP session closed.
Et enfin, dernier petit problème:
Répertoire $HOME introuvable
Ça, c'est «de ma faute». Enfin, c'est moi qui ai provoqué l'erreur.
Le service «shadow» est en erreur. Et si j'essaie de le lancer, j'obtiens l'erreur suivante:

Code : Tout sélectionner

Jan 22 18:51:39 mon-server pwck[13142]: user 'vmail': directory '/home/vmail' does not exist
Jan 22 18:51:39 mon-server pwck[13142]: user 'courier': directory '/home/courier' does not exist
Comment puis-je expliquer à Arch que ces deux utilisateurs ne doivent pas avoir de répertoire HOME, comme «http» ou «mysql»?

Voilà voilà…
Je pense que mon serveur a besoin d'un petit coup de fouet au niveau de la sécurité mais… heu… je vous avoue que la dernière fois que j'ai essayé de configurer iptables, je me suis pris les pieds dans le tapis et il n'y a plus rien qui marchait.
Alors, toute aide est la bienvenue pour dammer le pion à ces méchants pirates.

Un grand merci pour votre aide.
Messages : 17288
Inscription : sam. 30 mai 2009, 15:48
Re: [LOG] Sécurité d'un serveur

Message par benjarobin »


Alors je suis loin d'être un expert dans l'administration serveur, mais :
Pour le ssh et le FTP, à part changer le port par défaut, il est difficile de limiter ce genre de tentative d'intrusion.
Iptables ne pourra rien faire pour limiter la chose, sauf si tu bien sur tu n’autorise que certaines IP publique.
Par contre tu peux utiliser fail2ban, qui ban automatiquement les IP des ataquant en fonction de certaines règles.

Que cron essaye d'envoyer un email est normal, il faut pour cela configurer cron : voir Wiki.

Pour le service shadow qui est en erreur, il te faut pour cela modifier le home des users vmail et courier. Voir le contenu de /etc/passwd.
Il est recommandé d'utiliser les outils d'administration pour changer le chemin du home (usermod)
Re: [LOG] Sécurité d'un serveur

Message par hopimet »

+1 pour fail2ban. Tu trouveras plein de tutos sur le web pour le configurer et globalement c'est assez facile à utiliser.

Attention aux tentatives de reverse mapping (vu mes logs c'est la grande mode en ce moment). Pour se protéger il faut ajouter une règle supplémentaire (qui n'est pas par défaut dans la configuration de fail2ban) :
http://www.debian-fr.org/fail2ban-adapt ... 40613.html

Pour avoir la persistance des règles dans iptables après un reboot tu peux te reporter ici :
http://zach.seifts.us/posts/2013/07/14/ ... persistent

Sinon, au cas où ce n'est pas déjà fait, je te conseille de configurer ta connexion ssh via une clé et de désactiver le log par mot de passe, de même que l'accès root.
Re: [LOG] Sécurité d'un serveur

Message par chindit »

Et ça continue…
J'ai encore un tas de tentatives de chinois, de coréens, etc.
Fail2ban est installé et activé mais je ne le vois pas dans le log et mon chinois préféré a frappé pendant 3h aux portes du serveur. Apparrement, quelque chose coince.
En attendant, j'ai (encore) bloqué son IP.

Sinon, j'ai découvert un truc étrange au niveau des mails:

Code : Tout sélectionner

Jan 23 04:42:05 mon-server postfix/smtpd[17053]: warning: hostname mailgate.sensenet.ch does not resolve to address
Jan 23 04:42:05 mon-server postfix/smtpd[17053]: connect from unknown[]
Jan 23 04:42:09 mon-server postfix/smtpd[17053]: NOQUEUE: reject: RCPT from unknown[]: 454 4.7.1 <joneslarry481@gmail.com>: Relay access denied; from=<admin@goodservers.com> to=<joneslarry481@gmail.com> proto=ESMTP helo=<CATS-GD1>
Jan 23 04:42:13 mon-server postfix/smtpd[17053]: lost connection after RCPT from unknown[]
Jan 23 04:42:13 mon-server postfix/smtpd[17053]: disconnect from unknown[]
C'est grave docteur?
Je vois que le spam n'a pas été envoyé (YESSS) mais est-ce que c'est une tentative aussi idiote que d'essayer tous les logins possibles et imaginables sur le SSH (dont le port vient de changer) ou bie est-ce que c'est plus grave?
Pour info, mon serveur mail (postfix+dovecot) exige une authentification pour la réception comme pour l'envoie, utilise DKIM et des connexions chiffrées en SSL/TLS pour Imap et STARTTLS pour smtp.
Re: [LOG] Sécurité d'un serveur

Message par hopimet »


Pour le mail je ne sais pas.

Pour fail2ban, peux tu poster tes fichiers de configurations. S'il y a eu plusieurs tentatives, l'IP aurait du être bannie à la 5e ou 6e normalement. Donc si ça ne l'a pas fait c'est qu'il y a un problème de conf. Sous réserve que fail2ban soit bien lancé.

Serait-il également possible de voir les logs de tentatives de connexion ssh ? Si, comme je l'ai dis plus haut, ils utilisent le reverse mapping, il faut modifier la conf de fail2ban, sinon il ne les voit pas.

Enfin, tu n'as pas dis si ton accès ssh root était désactivé de même que l'accès via mot de passe (à remplacer par une clé).

Personnellement, j'ai un serveur ssh sur le port 22 (car je ne peux pas faire autrement, si tu peux mettre un port non conventionnel ça réduira déjà la fréquence des attaques car le port 22 est naturellement le plus ciblé), donc attaqué en permanence par des PC zombies ou autres. Ce serveur est branché depuis 4 ans 24h/24 et je n'ai jamais eu d'intrusion avec fail2ban et identification par clé. En revanche les tentatives sont quotidiennes. Cela dit en rendant permanents les bannissements de fail2ban, la fréquence des attaques a diminué car on s'aperçoit que ce sont souvent les même IP ou plage d'IP qui reviennent (majoritairement Chine, mais aussi USA et plus récemment Ukraine)
Re: [LOG] Sécurité d'un serveur

Message par chindit »

hopimet a écrit :Pour fail2ban, peux tu poster tes fichiers de configurations. S'il y a eu plusieurs tentatives, l'IP aurait du être bannie à la 5e ou 6e normalement. Donc si ça ne l'a pas fait c'est qu'il y a un problème de conf. Sous réserve que fail2ban soit bien lancé.
J'ai tout laissé par défaut

Code : Tout sélectionner

cat /etc/fail2ban/fail2ban.conf 
# Fail2Ban main configuration file
# Comments: use '#' for comment lines and ';' (following a space) for inline comments
# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in fail2ban.local file, e.g.:
# [Definition]
# loglevel = DEBUG


# Option: loglevel
# Notes.: Set the log level output.
#         CRITICAL
#         ERROR
#         WARNING
#         NOTICE
#         INFO
#         DEBUG
# Values: [ LEVEL ]  Default: ERROR
loglevel = INFO

# Option: logtarget
# Notes.: Set the log target. This could be a file, SYSLOG, STDERR or STDOUT.
#         Only one log target can be specified.
#         If you change logtarget from the default value and you are
#         using logrotate -- also adjust or disable rotation in the
#         corresponding configuration file
#         (e.g. /etc/logrotate.d/fail2ban on Debian systems)
# Values: [ STDOUT | STDERR | SYSLOG | FILE ]  Default: STDERR
logtarget = /var/log/fail2ban.log

# Option: socket
# Notes.: Set the socket file. This is used to communicate with the daemon. Do
#         not remove this file when Fail2ban runs. It will not be possible to
#         communicate with the server afterwards.
# Values: [ FILE ]  Default: /var/run/fail2ban/fail2ban.sock
socket = /var/run/fail2ban/fail2ban.sock

# Option: pidfile
# Notes.: Set the PID file. This is used to store the process ID of the
#         fail2ban server.
# Values: [ FILE ]  Default: /var/run/fail2ban/fail2ban.pid
pidfile = /var/run/fail2ban/fail2ban.pid

# Options: dbfile
# Notes.: Set the file for the fail2ban persistent data to be stored.
#         A value of ":memory:" means database is only stored in memory 
#         and data is lost when fail2ban is stopped.
#         A value of "None" disables the database.
# Values: [ None :memory: FILE ] Default: /var/lib/fail2ban/fail2ban.sqlite3
dbfile = /var/lib/fail2ban/fail2ban.sqlite3

# Options: dbpurgeage
# Notes.: Sets age at which bans should be purged from the database
# Values: [ SECONDS ] Default: 86400 (24hours)
dbpurgeage = 86400
Et fail2ban est bien lancé

Code : Tout sélectionner

systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
   Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; enabled; vendor preset: disabled)
   Active: active (running) since Fri 2015-01-23 10:09:08 CET; 8h ago
     Docs: man:fail2ban(1)
  Process: 357 ExecStart=/usr/bin/fail2ban-client -x start (code=exited, status=0/SUCCESS)
 Main PID: 567 (fail2ban-server)
   CGroup: /system.slice/fail2ban.service
           └─567 /usr/bin/python /usr/bin/fail2ban-server -s /var/run/fail2ba...
hopimet a écrit :Serait-il également possible de voir les logs de tentatives de connexion ssh ? Si, comme je l'ai dis plus haut, ils utilisent le reverse mapping, il faut modifier la conf de fail2ban, sinon il ne les voit pas.
Hop, en voilà une tranche.
Le 219.quelque.chose est bloqué par iptables maintenant

Code : Tout sélectionner

Jan 23 00:00:49 mon-server sshd[1179]: Connection closed by [preauth]
Jan 23 00:16:13 mon-server sshd[2201]: Connection closed by [preauth]
Jan 23 00:41:44 mon-server sshd[3460]: Connection closed by [preauth]
Jan 23 00:43:18 mon-server sshd[3549]: Connection closed by [preauth]
Jan 23 01:11:21 mon-server sshd[5193]: Invalid user PlcmSpIp from
Jan 23 01:11:21 mon-server sshd[5193]: input_userauth_request: invalid user PlcmSpIp [preauth]
Jan 23 01:11:21 mon-server sshd[5193]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:11:21 mon-server sshd[5193]: pam_unix(sshd:auth): check pass; user unknown
Jan 23 01:11:21 mon-server sshd[5193]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=n219076098217.netvigator.com
Jan 23 01:11:23 mon-server sshd[5193]: Failed password for invalid user PlcmSpIp from port 7176 ssh2
Jan 23 01:11:23 mon-server sshd[5193]: Connection closed by [preauth]
Jan 23 01:14:14 mon-server sshd[5351]: Invalid user aaron from
Jan 23 01:14:14 mon-server sshd[5351]: input_userauth_request: invalid user aaron [preauth]
Jan 23 01:14:14 mon-server sshd[5351]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:14:14 mon-server sshd[5351]: pam_unix(sshd:auth): check pass; user unknown
Jan 23 01:14:14 mon-server sshd[5351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=n219076098217.netvigator.com
Jan 23 01:14:16 mon-server sshd[5351]: Failed password for invalid user aaron from port 59803 ssh2
Jan 23 01:14:16 mon-server sshd[5351]: Connection closed by [preauth]
Jan 23 01:17:10 mon-server sshd[5517]: Invalid user admin from
Jan 23 01:17:10 mon-server sshd[5517]: input_userauth_request: invalid user admin [preauth]
Jan 23 01:17:10 mon-server sshd[5517]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:17:10 mon-server sshd[5517]: pam_unix(sshd:auth): check pass; user unknown
Jan 23 01:17:10 mon-server sshd[5517]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=n219076098217.netvigator.com
Jan 23 01:17:12 mon-server sshd[5517]: Failed password for invalid user admin from port 33149 ssh2
Jan 23 01:17:13 mon-server sshd[5517]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:17:13 mon-server sshd[5517]: pam_unix(sshd:auth): check pass; user unknown
Jan 23 01:17:14 mon-server sshd[5517]: Failed password for invalid user admin from port 33149 ssh2
Jan 23 01:17:15 mon-server sshd[5517]: Connection closed by [preauth]
Jan 23 01:17:15 mon-server sshd[5517]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=n219076098217.netvigator.com
Jan 23 01:20:50 mon-server sshd[5685]: Invalid user admin from
Jan 23 01:20:50 mon-server sshd[5685]: input_userauth_request: invalid user admin [preauth]
Jan 23 01:20:50 mon-server sshd[5685]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:20:50 mon-server sshd[5685]: pam_unix(sshd:auth): check pass; user unknown
Jan 23 01:20:50 mon-server sshd[5685]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=n219076098217.netvigator.com
Jan 23 01:20:52 mon-server sshd[5685]: Failed password for invalid user admin from port 35194 ssh2
Jan 23 01:20:53 mon-server sshd[5685]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:20:53 mon-server sshd[5685]: pam_unix(sshd:auth): check pass; user unknown
Jan 23 01:20:55 mon-server sshd[5685]: Failed password for invalid user admin from port 35194 ssh2
Jan 23 01:20:56 mon-server sshd[5685]: Connection closed by [preauth]
Jan 23 01:20:56 mon-server sshd[5685]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=n219076098217.netvigator.com
Jan 23 01:24:17 mon-server sshd[5861]: Invalid user admin from
Jan 23 01:24:17 mon-server sshd[5861]: input_userauth_request: invalid user admin [preauth]
Jan 23 01:24:17 mon-server sshd[5861]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:24:17 mon-server sshd[5861]: pam_unix(sshd:auth): check pass; user unknown
Jan 23 01:24:17 mon-server sshd[5861]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=n219076098217.netvigator.com
Jan 23 01:24:19 mon-server sshd[5861]: Failed password for invalid user admin from port 37650 ssh2
Jan 23 01:24:19 mon-server sshd[5861]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:24:19 mon-server sshd[5861]: pam_unix(sshd:auth): check pass; user unknown
Jan 23 01:24:21 mon-server sshd[5861]: Failed password for invalid user admin from port 37650 ssh2
Jan 23 01:24:22 mon-server sshd[5861]: Connection closed by [preauth]
Jan 23 01:24:22 mon-server sshd[5861]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=n219076098217.netvigator.com
Jan 23 01:25:35 mon-server sshd[5941]: Connection closed by [preauth]
Jan 23 01:26:11 mon-server sshd[5986]: Connection closed by [preauth]
Jan 23 01:27:20 mon-server sshd[6032]: Invalid user administrator from
Jan 23 01:27:20 mon-server sshd[6032]: input_userauth_request: invalid user administrator [preauth]
Jan 23 01:27:20 mon-server sshd[6032]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:27:20 mon-server sshd[6032]: pam_unix(sshd:auth): check pass; user unknown
Jan 23 01:27:20 mon-server sshd[6032]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=n219076098217.netvigator.com
Jan 23 01:27:21 mon-server sshd[6032]: Failed password for invalid user administrator from port 39239 ssh2
Jan 23 01:27:22 mon-server sshd[6032]: Connection closed by [preauth]
Jan 23 01:30:00 mon-server sshd[6121]: Invalid user alex from
Jan 23 01:30:00 mon-server sshd[6121]: input_userauth_request: invalid user alex [preauth]
Jan 23 01:30:00 mon-server sshd[6121]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:30:00 mon-server sshd[6121]: pam_unix(sshd:auth): check pass; user unknown
Jan 23 01:30:00 mon-server sshd[6121]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=n219076098217.netvigator.com
Jan 23 01:30:02 mon-server sshd[6121]: Failed password for invalid user alex from port 40798 ssh2
Jan 23 01:30:03 mon-server sshd[6121]: Connection closed by [preauth]
Jan 23 01:32:46 mon-server sshd[6291]: Invalid user arbab from
Jan 23 01:32:46 mon-server sshd[6291]: input_userauth_request: invalid user arbab [preauth]
Jan 23 01:32:46 mon-server sshd[6291]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:32:46 mon-server sshd[6291]: pam_unix(sshd:auth): check pass; user unknown
Jan 23 01:32:46 mon-server sshd[6291]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=n219076098217.netvigator.com
Jan 23 01:32:48 mon-server sshd[6291]: Failed password for invalid user arbab from port 42369 ssh2
Jan 23 01:32:49 mon-server sshd[6291]: Connection closed by [preauth]
Jan 23 01:35:33 mon-server sshd[6458]: Invalid user backup from
Jan 23 01:35:33 mon-server sshd[6458]: input_userauth_request: invalid user backup [preauth]
Jan 23 01:35:33 mon-server sshd[6458]: pam_tally(sshd:auth): pam_get_uid; no such user
Jan 23 01:35:33 mon-server sshd[6458]: pam_unix(sshd:auth): check pass; user unknown
Vous remarquerez qu'il utilise des noms d'utilisateurs plausibles. Pas bête le pirate :)

hopimet a écrit :Enfin, tu n'as pas dis si ton accès ssh root était désactivé de même que l'accès via mot de passe (à remplacer par une clé).
SSH root désactivé. Normalement, il n'y a que le simple utilisateur qui a accès au SSH (normalement les utilisateurs type «mysql» ne savent pas. Si?). Les autres utilisateurs on un shell «/bin/false» pour bloquer le SSH.
Le port a été changé de 22 à 56.
L'accès se fait via mot de passe.
Re: [LOG] Sécurité d'un serveur

Message par hopimet »

Merci, désolé j'étais absent.

En fait c'est le fichier /etc/fail2ban/jail.conf que je voudrais voir.
Et aussi /etc/fail2ban/filter.d/sshd.conf.
Et pendant qu'on y est les log de fail2ban : /var/log/fail2ban.log
Re: [LOG] Sécurité d'un serveur

Message par chindit »

hopimet a écrit :En fait c'est le fichier /etc/fail2ban/jail.conf que je voudrais voir.

Code : Tout sélectionner

cat jail.conf
cat filter.d/sshd.conf

Code : Tout sélectionner

# Fail2Ban filter for openssh
# Fail2Ban filter for openssh
# If you want to protect OpenSSH from being bruteforced by password
# authentication then get public key authentication working before disabling
# PasswordAuthentication in sshd_config.
# "Connection from <HOST> port \d+" requires LogLevel VERBOSE in sshd_config


# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf


_daemon = sshd

failregex = ^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error) for .* from <HOST>( via \S+)?\s*$
            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
            ^%(__prefix_line)sFailed \S+ for .*? from <HOST>(?: port \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s(, client user ".*", client host ".*")?))?\s*$
            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because listed in DenyUsers\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because not in any group\s*$
            ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
            ^%(__prefix_line)sReceived disconnect from <HOST>: 3: \S+: Auth fail$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because a group is listed in DenyGroups\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$
            ^(?P<__prefix>%(__prefix_line)s)User .+ not allowed because account is locked<SKIPLINES>(?P=__prefix)(?:error: )?Received disconnect from <HOST>: 11: .+ \[preauth\]$
            ^(?P<__prefix>%(__prefix_line)s)Disconnecting: Too many authentication failures for .+? \[preauth\]<SKIPLINES>(?P=__prefix)(?:error: )?Connection closed by <HOST> \[preauth\]$
            ^(?P<__prefix>%(__prefix_line)s)Connection from <HOST> port \d+(?: on \S+ port \d+)?<SKIPLINES>(?P=__prefix)Disconnecting: Too many authentication failures for .+? \[preauth\]$

ignoreregex =


# "maxlines" is number of log lines to buffer for multi-line regex searches
maxlines = 10

journalmatch = _SYSTEMD_UNIT=sshd.service + _COMM=sshd

cat fail2ban.log

Code : Tout sélectionner

sudo cat fail2ban.log                                 
2015-01-22 19:07:14,063 fail2ban.server         [14464]: INFO    Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.1
2015-01-22 19:07:14,071 fail2ban.database       [14464]: INFO    Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2015-01-22 19:07:14,790 fail2ban.database       [14464]: WARNING New database created. Version '2'
2015-01-23 10:07:57,829 fail2ban.server         [14464]: INFO    Stopping all jails
2015-01-23 10:07:57,831 fail2ban.server         [14464]: INFO    Exiting Fail2ban
2015-01-23 10:09:07,671 fail2ban.server         [567]: INFO    Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.1
2015-01-23 10:09:07,917 fail2ban.database       [567]: INFO    Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
Je n'ai modifié aucun de ces fichiers.

Et, (mal)heureusement, personne n'est venu frapper à la porte du serveur cette nuit, donc j'ai pas de nouvelles infos. Peut-etre que le pirate a essayé depuis la même IP et que donc iptables l'a viré avant qu'il n'essaie.

Et sinon, nouvelle question. J'ai une alerte de reverse-dns sur mon IP:

Code : Tout sélectionner

Jan 24 10:51:37 mon-server sshd[20740]: reverse mapping checking getaddrinfo for 233.84-176-91.adsl-dyn.isp.belgacom.be [] failed - POSSIBLE BREAK-IN ATTEMPT!
Je m'en fous, je sais que c'est moi cette IP là. Mais je peux faire quelque chose ou bien c'est mon FAI qui fait le con? (ce qui ne m'étonnerait guère)
Re: [LOG] Sécurité d'un serveur

Message par Fanch »


c'est jail.local qu'il faut editer, jail.conf est fourni par le package et ne devrait pas etre changé.

Ensuite il faut s'assurer d'avoir activé le filtre:

Code : Tout sélectionner

enabled = true
#port    = ssh
port    = 0:65535
logpath = %(sshd_log)s
c'est le enable=true qui est important

Comme dit par hopimet, /var/log/fail2ban.log permet assez facilement de savoir si fail2ban tourne dans le vide ou pas.
Tu dois voir une ligne :

Code : Tout sélectionner

 Jail 'sshd' started

Pour finir un petit conseil, rajoute ton ip sur la ligne ignoreip = ;)
Re: [LOG] Sécurité d'un serveur

Message par hopimet »


Tu peux modifier et adapter jail.conf ça n'a pas beaucoup d'importance. A la limite si ça peut rassurer, rien n'empêche d'en faire une copie avant.

Voici un exemple pour mon bloc ssh dans jail.conf

Code : Tout sélectionner

enabled  = true
port     = xx,yy
filter   = sshd
action   = iptables-multiport[name=ssh,port="xx,yy",protocol=tcp]
logpath  = /var/log/auth.log
bantime = 604800
maxretry = 5
Commentaires :
  • a) xx,yy sont à remplacer par le(s) numéro(s) de ports écoutés par le serveur ssh; Perso, jécoute sur 2 ports pour des raisons spécifiques mais on peut très bien n'en mettre qu'un.
  • b) la ligne iptables-multiport[name=ssh,port="xx,yy",protocol=tcp] appelle le script correspondant pour ajouter l'IP insistante dans iptables
  • c) la ligne mail[name=SSH,dest=tonmail@email.com] sert à envoyer un mail pour prévenir qu'une IP vient d'être bannie. Ce n'est pas indispensable.
Re: [LOG] Sécurité d'un serveur

Message par benjarobin »

Sauf que /var/log/auth.log n'existe plus depuis longtemps si on utilise que systemd...
Il faut configurer fail2ban pour utiliser systemd comme backend
Re: [LOG] Sécurité d'un serveur

Message par hopimet »


Au temps pour moi. J'utilise fail2ban sur une raspberry avec raspbian. D'où ma configuration, qu'il faut effectivement adapter. Cela étant, les autres lignes ne doivent pas poser de problème.
Re: [LOG] Sécurité d'un serveur

Message par chindit »

Bon ben… j'ai rien compris (ou presque) au fichier «.conf».
Donc j'ai suivi la doc et j'ai créé le fichier «sshd-iptables» dans le dossier «jail.d»
Voici ce que j'y ai mis:

Code : Tout sélectionner

cat /etc/fail2ban/jail.d/ssh-iptables.conf 
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=56, protocol=tcp]                                         
           sendmail-whois[name=SSH, dest=MON@MAIL.FR, sender=fail2ban@mail.com]                                                                  
maxretry = 5
J'ai relancé le service et j'ai reçu un mail m'indiquant que le système était en route.
Donc je suppose que fail2ban est en route maintenant. Je vous tiendrai au courant.

Restent mes questions sur Postfix et sur le Reverse Mapping
Re: [LOG] Sécurité d'un serveur

Message par hopimet »

Pour le reverse mapping je t'ai donné un lien dans mon premier message. T'as juste à suivre les indications.
Rajouter cette ligne :
^%(__prefix_line)sreverse mapping checking getaddrinfo for .* \[<HOST>\] failed - POSSIBLE BREAK-IN ATTEMPT!*\s*$
dans ton /etc/fail2ban/filter.d/sshd.conf
Re: [LOG] Sécurité d'un serveur

Message par ZerooCool »

Bonjour, je viens de m'inscrire sur le forum.
Je ne connais pas la moitié de linux à moitié autant que je le voudrais, et j'aime moins la moitié des questions que je me pose à moitié autant qu'elles ne le mériteraient.

Est ce que je peux copié coller cela, pour une Centos Release 3 OVH ?
Pour le reverse mapping je t'ai donné un lien dans mon premier message. T'as juste à suivre les indications.
Rajouter cette ligne :

Code : Tout sélectionner

^%(__prefix_line)sreverse mapping checking getaddrinfo for .* \[<HOST>\] failed - POSSIBLE BREAK-IN ATTEMPT!*\s*$
dans ton /etc/fail2ban/filter.d/sshd.conf
Re: [LOG] Sécurité d'un serveur

Message par hopimet »


Oui, a priori tu peux rajouter la ligne indiquée dans ta config de fail2ban. Il n'y a pas de raison que la configuration de /etc/fail2ban/filter.d/sshd.conf soit différente sur une Centos.