fail2ban sme

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

fail2ban sme

Messagepar unnilennium » 12 Mai 2010 01:43

Bonjour,

je suis en train de mettre en place une contribs fail2ban pour sme.

J'aurais besoin de retour d'expérience de personnes ayant déjà tenté l'installation de fail2ban et surtout de ce qu'ils ont monitoré et avec quel filtre (personnalisé ou pas).


plusieurs difficultés rencontrées pour le moment :
- emplacement des fichiers logs
- format de log, besoin de regex adaptées
- iptables , masq et les templates ...

fabriquer des regles pour les services présent dans sme mais non definis par defaut.


Jean-Philippe
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Messagepar unnilennium » 26 Mai 2010 17:55

bonjour,

ca avance

-les templates pour generer les fichiers de config sont près
- l'utilisation de la database e-smith pour generer les modifs dans les templates ok
- les regex pour apache badbots, auth, php open url et apache overflows ont été adaptées
- les chemins des différents log sont corrigés
- demarrage du deamon ok
- surveillance ok
- banissement iptables ok
- mise en liste blanche des ip autorisées pour le server manager, et des ip locales + ip et hotes spécifiques ok . possibilité


reste à faire:

- regex et rule pour (j'aurais besoin de logs avec des tentatives d'intrusions, me contacter par pm):
- ftp : /var/log/ftp/ ou /var/log/proftp
- imaps : /var/log/imaps/current
- pops : /var/log/pops/current
- imap : /var/log/imap/current
- pop : /var/log/pop/current
- qpsmtpd : /var/log/sqpsmtpd/current
- webmail : /var/log/httpd/error_log
- server manager : /var/log/httpd/error_log


ensuite je réfléchi à utiliser une db esmith pour rendre permanent ou long terme les ban d'ips, en effet vous savez que fail2ban contrairement à denyhosts ne conserve pas les ban au redémarrage... alors pourquoi pas profiter de sme pour améliorer fail2ban.
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Messagepar stephdl » 31 Mai 2010 22:01

bein dites donc, il n'est pas très encourageant le forum pour ta contrib....
c'est du beau boulot, et merci de te décarcasser pour la communauté.

Dans tous les cas, c'est vraiment le Soft qui manque à la Sme.....heu remarque le Vpn Site to Site ce serait pas mal aussi :)

vraiment merci par avance.
stephdl
Major
Major
 
Messages: 77
Inscrit le: 19 Jan 2008 16:39
Localisation: rodez.....france

Messagepar unnilennium » 31 Mai 2010 23:28

merci pour le message d'encouragement !

le vpn site to site se fait assez bien avec la contrib open vpn bridge (bon y'a un ou deux trucs à bidouiller mais ca marche)

au passage la regex pour le ftp est prête...

plus que quelque chose pour les intrusion webmail et server manager.

vu que le risque d'intrusion pour les services mail est plus faible je pense que je vais sortir une beta d'ici peu sans regex pour ces services . Surement aussi sans une interface très développée coté manager.

Je préfère me concentrer sur un belle doc wiki concentrant toutes les valeurs des db à régler et tenter de faire un base qui mémorise les IP bannies pour le redémarrage.

Des avis ?
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Messagepar stephdl » 31 Mai 2010 23:41

unnilennium a écrit:merci pour le message d'encouragement !

le vpn site to site se fait assez bien avec la contrib open vpn bridge (bon y'a un ou deux trucs à bidouiller mais ca marche)


heu je suis hors sujet mais tu m'interesses !!!!

quels sont les un ou deux trucs à modifier !!!!
je me suis interessé un peu à open-vpn version sme-server manager, à tel point que je me suis fais ma doc (un pense bete)

http://geekeries.de-labrusse.fr/?p=360
http://geekeries.de-labrusse.fr/?p=235
stephdl
Major
Major
 
Messages: 77
Inscrit le: 19 Jan 2008 16:39
Localisation: rodez.....france

Messagepar unnilennium » 01 Juin 2010 00:31

@ MUZO : peux tu spliter le sujet en deux à partir de la réponse précedent ce message ?



Je dois avouer que la mise en place la dernière fois remonte un peu mais de souvenir :


- d'abord on assume que les deux reseaux ont des domaiens ip differents exemble 192.168.62.1/24 et 192.168.34.1/24 (je commence à être inventif sur les reseau car je me suis trop souvent trouvé bloqué sur l'accés à mon vpn a cause d'un reseau local identique à mon reseau vpn)

- installer la contrib sur les deux serveurs et configurer
- decider d'un serveur et d'un client
- ajouter la configuration client sur le serveur client (comme sur un poste win win )
- relancer le service
- ajouter le reseau distant comme reseau local ami dans le manager (je me rappel qu'un coté passe comme dans du beurre et que l'autre demande un tweak il faut que je retrouve)

au final j'avais acces avec les adresses ip sans soucis

- reste a tweaker le dhcp pour ajouter le deuxieme sme en passerelle pour que l'acces par nom netbios fonctionne entre les réseaux ( corrigez moi si je me trompe)


recette approximative mais pouvant aider
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Messagepar sibsib » 25 Juin 2010 20:37

Hello unnilennium,

J'avais vu ton post, mais je ne me sentais pas trop motivé ;-)

Maintenant, je suis susceptible d'avoir besoin de fail2ban dans un contexte pro, et du coup, en étudiant le produit, je me le verrais bien aussi sur ma SME !

Cherches tu des beta testeurs ? Un coup de main pour les regexp ? (çà, c'est pour la partie SME)
pour fail2ban, l'usage comme filtre sur un serveur web face à des attaques en scripts, çà te parait jouable ? (Sachant que dans ce cas, on pourrait être prêts à se peler des regexp bien spécifiques en fonction de notre cms) - çà, c'est plutôt pour le boulot :-)

Sinon, pour SME, histoire de peut-être faire des tests dans mon coin, tu utilises quelles sources pour fail2ban ?
sur rpm.pbone.net, je trouve ceci pour redhat el 4 : fail2ban-0.8.4-24.el4.noarch.rpm

Merci d'avance pour les réponses, et plus généralement sur ce que tu pourrais dire sur fail2ban. C'est pas tout à fait dans le sujet, mais çà peut intérresser du monde, donc je n'envoie pas en MP.

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar unnilennium » 27 Juin 2010 05:20

pour le moment c'est un peu en suspend a cause d'un déménagement.

pour info j'utilise :
fail2ban-0.8.4-24.el4
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Messagepar sibsib » 27 Juin 2010 13:25

Hello,

Merci Unnilenium, je vais jouer un peu avec cette version.

Je te souhaits un bon déménagement !

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar sibsib » 27 Juin 2010 19:28

Re,

Bon, vu ton autre post, je vais patienter quelque peu, mais l'essai de fail2ban n'a pas été concluant.

Et, en cherchant un peu sur le net, je suis tombé sur ceci (chez un dénommé jpp, tu vois peut-être de qui il s'agit ;-) ) :
fail2ban

impossible pour le moment de le faire tourner avec SME 7 les log de sshd sont fait avec multilog, le format est reconu dés la version 0.6.1, mais la façon dont est ecrit le fichier est pris pour une rotation du log.(ouverture écriture fermeture et donc modification de la date de derniere modification)

la version 0.8 actuelle est pour python 2.4, la 0.9 qui viendra un jour est prévue pour 2.3

(Source : http://smeserver.pialasse.com/index.php/Ssh#fail2ban )

Du coup, je bloque un peu, et je crains que le problème soit plutôt la version de python que le fait du mode d'écriture dans les logs.

Donc, je suppose que tu as trouvé un contournement, mais pas moi !

Quand tu peux :-)

Merci,
Pascal[/quote]
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar unnilennium » 27 Juin 2010 23:20

regarde l'historique ca date d'il y'a qq années ^^

ca tourne actuellement

le probleme à l'epoque etait le non support de la version de python de sme par fail2ban, depuis ils sont supporté les anciennes version de python et ca tourne.


si tu veux je peux te faire un petit tar avec mes regexp et templates


JP
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Messagepar sibsib » 28 Juin 2010 19:59

Hello,

Ah oui, je veux bien !!!

schirrms chez schirrms point net

Merci,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar MaRCoOf » 02 Juil 2010 17:44

Bonjour à vous tous

Je veux bien tester moi aussi !
Marc
MaRCoOf
Major
Major
 
Messages: 85
Inscrit le: 10 Déc 2004 10:27
Localisation: bayonne

Re: fail2ban sme

Messagepar HP77 » 05 Déc 2010 12:09

Bonjour,

Ayant eu quelques attaques sur mon serveur, je voudrais bien pouvoir "filtrer" un peu les tentatives de connexion.

Jdh ayant évoqué la solution Fail2Ban, j'aimerais bien, moi aussi, mettre en oeuvre cette solution avant mon retour en France à la mi-décembre pour quelques semaines. 8)

Qu'en est-il de vos essais ?
(si les choses ont évoluées notablement pour une "révélation" publique, bien entendu :wink: )


Personnellement, j'aimerais bien tester en partant de zéro mais pas avec SME et son système de Templates encore bien opaque à la lumière de la connaissance (en ce qui me concerne) et pas en si peu de temps (deux semaines) avec tant de choses encore à gérer (déménagement une semaine avant le départ #-o :roll: :x ... :roll: :wink:

Bien Merci d'avoir pris le temps de me lire et, peut-être de me répondre.

Cordialement,
HP
Ma config perso : ATGC3-I (=Atom 330) + 1x 2GB RAM DDR2 + 2x HDD SATA 500 GB en RAID 1 logiciel
--> Mini-Serveur à la maison (derrière une "Box")
--> configuration réseau
A lire : The SME Server Developer's Guide (EN)
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Re: fail2ban sme

Messagepar unnilennium » 07 Déc 2010 05:00

désolé a tous j'etais dans une grande ligne droite qui se termine demain (examen de synthèse de doctorat) , après cela les vacances en France, et j'y retourne en janvier pour finir cette contrib.


JP
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron