OVH Community, votre nouvel espace communautaire.

2 petites questions auth.log et maj


mr-r
07/05/2015, 11h18
oui le root je l'ai désactivé, sinon hors mis les maj, c'est revenu normal, que 2, 3 robots et plus de 100n d'ip dif

Astragor
06/05/2015, 15h07
Pour ma part j'avais aussi pas mal d'attaque...
Et même si fail2ban fait bien son boulot j'ai quand même changé le port de SSH et empêché de le login par root.
Et comme je suis paranoïaque , il m'arrive même de carrément désactiver le service SSH sur mon VPS quand je n'ai pas a toucher aux fichiers systèmes de celui-ci, étant donné qu'on peut travailler avec KVM et que pour le reste j'utilise ISP config.

Du coup plus une seule attaque.

mr-r
05/05/2015, 17h32
Merci pour les infos sur le changement de port
Je ne l'ai pas changé également car j'avais lu qu'il était préférable de bannir directement les ip néfaste sur le 22 au lieu de les laisser "trainer".

Sinon oui fail2ban fait bien son boulot, c'est juste que là on aurait dit, vu les noms d'user et le nombre ip dif, que les personnes se trompaient de serveur ou étaient dirigées sur le mauvais :-s

c'est un vps classique au canada. Donc pour les maj c'est donc normal juste le kernel d'openvz qui n'est pas identique si je comprends bien


Edit: oui dans iptables -L j'ai bien toutes les adresses ban de fail2ban

Nowwhat
05/05/2015, 17h23
Citation Envoyé par sich
.... ne jamais laisser SSH sur le port 22..
Comme @janus57.
De plus, je conseille plutôt de faire les choses 'bien' - et comme Debian 8 (Jessie) pré-installe l'accès 'root' par SSH: tout sauf par clavier & mot de passe.
Autrement dit: avec des clés.
Il existe trois trilliard des tutos sur le net qui explique bien comment paramétrer tout ça.

Citation Envoyé par sich
.... ne jamais laisser SSH sur le port 22..
Et normalement fail2ban devrait bloquer ça si tu as plusieurs tentatives d'accès par la même IP.[/QUOTE]
Quand on pense qu'un filtre de fail2ban, disons "sshd.conf" devrait bloquer des tentatives, présent dans log "yyyyyyyy", on arrête de penser (également de s’inquiéter). On teste soi-même !!

Simple:
Mon log d’autorisation et autre tentatives de sshd est ici : /var/log/auth.log
Mon filtre 'fail2ban' pour filtres des tentatives sshd est ici : /etc/fail2ban/filter.d/sshd.conf
On y va:
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Ça me donne (pour moi):
[1]
[2]
[3]
[4]
[5]
189.55.59.99 (Sun May 03 07:50:55 2015)
186.42.187.42 (Mon May 04 19:38:07 2015)
220.247.239.70 (Mon May 04 23:03:56 2015)
168.144.251.19 (Tue May 05 03:17:02 2015)
188.11.156.19 (Tue May 05 04:46:05 2015)
121.78.202.111 (Tue May 05 17:47:46 2015)
[6]
[7]
[8]
[9]
[10]
......
Success, the total number of match is 6
Donc regext test numéro 5 dans sshd.conf va bloquer ces 6 IP's.
=>
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from \s*$

janus57
05/05/2015, 14h45
Bonjour,

ne jamais laisser SSH sur le port 22.
perso je suis pas de cette avis, un fail2ban est plus efficace et aussi a cause de ceci : https://www.adayinthelifeof.nl/2012/...2-is-bad-idea/

Sinon fail2ban se configure et pour les MAJ si c'est un VPS Cloud avec le kernel Ubuntu (et non OVH) c'est surement une MAJ kernel (j'en ai vu passé une sur mon PC sous Ubuntu 14.04).

Cordialement, janus57

sich
05/05/2015, 13h01
Pense à changer les numéros de ports de tes services déjà, ne jamais laisser SSH sur le port 22.
Et normalement fail2ban devrait bloquer ça si tu as plusieurs tentatives d'accès par la même IP.

mr-r
05/05/2015, 12h26
Bonjours, je dispose d'un vps depuis moins d'un mois. Très contant, c'est parfait pour ce faire la main étant débutant .

Sous ubuntu 14.04, en aillant installé fail2ban, portsentry...

Mais ce matin j'ai eu la surprise d'avoir un joli auth.log de je ne sais combien d'ip différentes ont essayé de ce connecter avec des users en tout genre ...

Un petit exemple:

2300 lignes en 18h

dois je m’inquiéter ou non ?

sinon un autre petit problème il me dit qu'il y a des maj :
2 packages can be updated.
2 updates are security updates.

mais il ne les trouve pas :-/
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.

des maj ont déjà été installées sans problème par le passé, mais on dirait que c'est apparu avec l'arrivé de la 15.04 (ou une simple coïncidence ) .

(ps: rkhunter ne trouve pas de défaut hors mis un faux positif )

Merci d'avance pour votre éclaircissement