SME 7.5 + Contribution DenyHosts

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

SME 7.5 + Contribution DenyHosts

Messagepar HP77 » 08 Déc 2010 17:48

Bonsoir,

Je viens donc de procéder à l'installation de la contribution de ce cher "Dr Pialasse", cf. :
unnilennium a écrit:pour ssh il y'a denyhost qui est bien plus efficace, contribs par un certain jp pialasse

Là, même l'adresse IP de ma machine que j'ai pourtant ajoutée dans la "liste blanche" ne peut plus se connecter. :?
L'adresse Ip continue de figurer dans la "liste noire".
Je pensais qu'en l'ajoutant dans la liste blanche, cela l'enlèverait automatiquement de la liste noire.

Et bien oui, j'ai pas pensé à ajouter mon adresse IP (obtenue par DHCP) avant de d'activer le soldat DenyHosts.
Je ne me faisais pas de bile puisque j'accède au Server-Manager via HTTPSet que, au pire, j'ai toujours un clavier + écran connectés au serveur via un "KVM Switch".

Je suis bon pour aller modifier cette liste noire à la main, si je la trouve... :P

Autrement, gros problème :
Comment je gère un accès depuis mon serveur qui va pousser en France et qui, comme celui-ci, sera au régime "DynDNS" ??
On ne peut pas ajouter un nom de domaine mais que des adresses IP aux listes blanche/noire. :(
C'est bien dommage.
M'enfin, c'est peut-être aussi dû au fait que DenyHosts n'a pas été conçu dans cette optique. :wink:
Côté réseau local, j'aurais bien aimé aussi pouvoir utiliser un filtre pour autoriser/interdire sur une plage d'adresses comme par exemple : 192.168.0.0/24 (=192.168.0.xxx) ou bien encore : 192.168.0.1-192.168.0.123 8)

A qui vais-je demander un coup de main pour "améliorer" le confort d'utilisation de ce petit joujou ?
("bibi" et "l'ami G.", j'en suis sûr! Mais, qui d'autre pourraît m'aider sur cette intervention "chirurgicale" ?)

unnilennium a écrit:et commence par interdire l'accès par mot de passe et n'autorise que les clefs ssh (site de grand-pa pour voir le how to pour les creer)

Là, je te remercie de m'avoir lancé sur cette piste.
Cela dit, si l'on peut (il me semble que oui, un peu comme pour OpenVPN) combiner les deux (mot de passe + clefs SSH), ça ne sera que mieux. :wink:

Bon, et bien, encore ça de plus sur les bras avant le départ pour la France... :roll: #-o :wink:


Sur ce je vous laisse, je suis invité chez Morphée...

Cordialement,
HP


P.S.
Le point de départ de la discussion était ici : fail2ban sme
Ma config perso : ATGC3-I (=Atom 330) + 1x 2GB RAM DDR2 + 2x HDD SATA 500 GB en RAID 1 logiciel
--> Mini-Serveur à la maison (derrière une "Box")
--> configuration réseau
A lire : The SME Server Developer's Guide (EN)
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Re: SME 7.5 + Contribution DenyHosts

Messagepar unnilennium » 08 Déc 2010 21:50

on ne peut pas retirer manuellement une adresse ip une fois qu'elle est banie
il faut attendre que la periode de grace soit épuisée pour qu'elle soit retirée.
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Re: SME 7.5 + Contribution DenyHosts

Messagepar bethebeast » 08 Déc 2010 22:39

hey ;)

unnilennium a écrit:on ne peut pas retirer manuellement une adresse ip une fois qu'elle est banie
il faut attendre que la periode de grace soit épuisée pour qu'elle soit retirée.


Pourtant, je suis passé par là, et comme je ne pouvais pas attendre, je suis passé par les templates ;)

Je suis passé par un autre poste évidement !

Sinon, je pense (à vérifier) qu'il est possible de passer des @IP par :

Code: Tout sélectionner
db configuration setprop  denyhost ValidFrom 1.2.3.4
signal-event expand-templates


(ATTENTION : étant donné mon manque de sérieux, je ne trouve plus le bout de papier où j'avais tout noté ! Donc, à confirmer !)

Sinon, il me semble que c'est possible avec une commande du genre :

Code: Tout sélectionner
db configuration setprop sshd AllowHosts 1.2.3.4
signal-event remoteaccess-update


Mais ça aussi est à vérifier/confirmer !

Faut dire que ce soir, ma mémoire me fait défaut... :oops:

@+

PS : "signal-event expand-templates" n'existe pas !
Dernière édition par bethebeast le 09 Déc 2010 00:58, édité 1 fois au total.
---
There is no place like 127.0.0.1
bethebeast
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 283
Inscrit le: 27 Avr 2008 20:18

Re: SME 7.5 + Contribution DenyHosts

Messagepar bethebeast » 09 Déc 2010 00:53

Bon, vu la mauvaise image que j'ai pu donné de moi même (dans le dernier post), mon surmoi a pris un sacré coup, et a décidé de se rattraper =P~

C'est du bricolage, mais l'essentiel est là, pour un dépannage rapide !

Si jamais une @IP légitime se retrouve coincé devant la porte à cause de DenyHost ou de l'user lui même, il suffit de :

Supprimer/commenter la ligne correspondante dans le fichier

Code: Tout sélectionner
/etc/hosts.deny_ssh


Ajouter l'@IP en question à la db de DenyHosts :

Code: Tout sélectionner
db configuration setprop denyhosts ValidFrom 1.2.3.4
signal-event remoteaccess-update

en tout cas, chez moi, ça marche :roll:

J'ai essayé avec :

Code: Tout sélectionner
signal-event conf-denyhosts


Sans avoir le résultat escompté :(

Je crois que ce foutu surmoi va pouvoir dormir tranquillisé :shock:

@+

PS : je précise quand même que je ne suis pas convaincu de ce brouillon...le ValidFrom m'intrigue :? Je ne sais pas si c'est la bonne variable :oops:
---
There is no place like 127.0.0.1
bethebeast
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 283
Inscrit le: 27 Avr 2008 20:18

Re: SME 7.5 + Contribution DenyHosts

Messagepar unnilennium » 09 Déc 2010 04:25

ton bricolage ne fonctionne que si denyhosts n'est pas redémarré et qu'une nouvelle ip n'est pas ajoutée dans les bans sinon il refait le fichier modifié.

D'ou le fait que cela ne marche pas avec signal-event conf-denyhosts

Pour ValidFrom la variable stocke la liste des ip autorisées.... docn attention de ne pas écraser le contenu avec la commande config setprop denyhosts ValidFrom, suivi de signal-event conf-denyhosts pour propager les modifs


Pour répondre à la question pour enlever une ip injustement bannie : http://denyhosts.sourceforge.net/faq.html#3_19

Pour ce qui est de configurer un ensemble d'ip d'un coup ou même d'empecher un dns d'etre bloqué :
http://denyhosts.sourceforge.net/faq.html#3_7

il faudra faire ainsi :
Code: Tout sélectionner
mkdir --parent /etc-e-smith/templates-custom/var/lib/denyhosts/allowed-hosts
vi  /etc-e-smith/templates-custom/var/lib/denyhosts/allowed-hosts/99perso


et ajouter dans le fichier soir la plage ip ainsi :
Code: Tout sélectionner
192.168.1.[1-89]


soit le dns:
Code: Tout sélectionner
http://www.mondns.no-ip.org

(ou les deux ;) )

puis
Code: Tout sélectionner
signal-event conf-denyhosts
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Re: SME 7.5 + Contribution DenyHosts

Messagepar HP77 » 13 Déc 2010 09:37

Bonjour,

J'ai pas mal de chose à dire depuis la dernière fois mais, devant re-vérifier certains points et n'ayant pas eu assez de temps à moi jusque maintenant, je conserve mes deux brouillons pour plus tard... :P :wink:
Code: Tout sélectionner
10 Déc 2010 14:47 Re: SME 7.5 + Contribution DenyHosts

Sujet: SME 7.5 + Contribution DenyHosts  Charger un brouillon
Voir et/ou éditer 
10 Déc 2010 14:41 Re: SME 7.5 + Contribution DenyHosts

Sujet: SME 7.5 + Contribution DenyHosts  Charger un brouillon
Voir et/ou éditer 



Juste pour info : la page Wiki suivante : http://wiki.contribs.org/Denyhosts (in English, qui était restée ouverte sur mon PC du boulot et que je viens de retrouver...) semble donner des informations complémentaires à la page en français pour ce qui est de la configuration.
J'y jetterais à nouveau aussi un coup dès(?) que possible.

A++ :wink:
HP_
Ma config perso : ATGC3-I (=Atom 330) + 1x 2GB RAM DDR2 + 2x HDD SATA 500 GB en RAID 1 logiciel
--> Mini-Serveur à la maison (derrière une "Box")
--> configuration réseau
A lire : The SME Server Developer's Guide (EN)
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Re: SME 7.5 + Contribution DenyHosts

Messagepar HP77 » 17 Déc 2010 19:44

---Message issu d'un brouillon datant du 09 Déc 2010 14:47 après perte de ma belle tartine presque terminée---

Bonjour,

Je tiens à vous remercier pour vous être penché sur ma question aussi vite et avec autant d'implication.
Sincèrement, Merci messieurs ! :D

@ "Be The Beast" :
J'espère que tu ne m'en voudras pas d'avoir préféré tester la cuisine de notre "bon Docteur" qui est à l'origine de la contribution "DenyHostsSME".


N'étant pas encore habitué à "vi-aïe", j'ai préféré "pico"... :
Code: Tout sélectionner
# mkdir --parent /etc-e-smith/templates-custom/var/lib/denyhosts/allowed-hosts
# pico /etc-e-smith/templates-custom/var/lib/denyhosts/allowed-hosts/99perso


Le contenu de mon fichier "99perso" est le suivant:
Code: Tout sélectionner
192.168.123.*
hp1977.dyndns.org
MonDomaineFR.MonDynDNS.xyz


Après avoir lancé la moulinette suivante :
Code: Tout sélectionner
# signal-event conf-denyhosts

Ce n'est pas mieux.

Je ne sais pas si c'est normal mais ces nous paramètres ne sont pas listés dans le panneau SSH DenyHosts de ServerManager.

Bon, comme il se fait super tard pour moi (01h30) et que je suis toujours au boulot... :roll: [-X je ne vais donc pas pouvoir compléter la tartine que j'avais rédigé la semaine dernière.

De mémoire, je me souviens que :
- je recherchais le "Work_Dir" utilisé pour la contribution SME
- Je cherchais aussi à savoir à combien de temps la période de grâce de la version SME a-t-elle été fixée
- Quels étaient les options de configuration de DenyHosts, en particulier concernant la résolution des noms de domaine, voir le second point abordé (voir "ALLOWED_HOSTS_HOSTNAME_LOOKUP") sur cette page : http://denyhosts.sourceforge.net/faq.html#allowed
- Peut-on forcer la "purge" : http://denyhosts.sourceforge.net/faq.html#2_9 etc...

Bon, je poste mais pas sans avoir l'impression de m'endormir aussi sur certains points. :roll:

Merci encore.
Cordialement,
HP
Ma config perso : ATGC3-I (=Atom 330) + 1x 2GB RAM DDR2 + 2x HDD SATA 500 GB en RAID 1 logiciel
--> Mini-Serveur à la maison (derrière une "Box")
--> configuration réseau
A lire : The SME Server Developer's Guide (EN)
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Re: SME 7.5 + Contribution DenyHosts

Messagepar HP77 » 17 Déc 2010 19:52

---Message issu d'un brouillon datant du 10 Déc 2010 14:41---
Bonjour,

Je viens d'installer la contribution (DenyHosts) également sur mon serveur au boulot et j'ai eu droit à ceci :
- Service = Disabled (par défaut)
- J'ajoute l'adresse IP de ma machine, je clique sur le bouton [ SAVE ]
- Paf : j'ai une liste d'hôtes bloqués qui apparaît ! ??

Cela me paraît un peu surprenant alors que le service est sensé être à l'arrêt. :?

Côté saisie des informations, impossible de préciser un 'range' d'adresses IP avec les " [ " et " ] " ou même d'utiliser ' * ' tout autant qu'il est impossible d'utiliser un nom d'hôte comme ServeurAgressif.com.


Autrement, côté amélioration du confort d'utilisation, ce qui serait bien sympa ce serait d'avoir un champ "commentaire" en face des adresses IP authorisées / bloquées pour pouvoir se rappeler pourquoi c'est autorisé / bloqué :
- 192.168.0.321 : "Serveur de Backup Affa"
- 172.168.0.321 : "PC de M. Untel bourré de virus"
- 213.132.321.456 : "Serveur Web pirate qui m'attaque tout le temps depuis le 10-12-2010"


Bon, aller, je retourne à mes "duties" de gratte-papier du moment... #-o

A+ :wink:
Cordialement,
HP
Ma config perso : ATGC3-I (=Atom 330) + 1x 2GB RAM DDR2 + 2x HDD SATA 500 GB en RAID 1 logiciel
--> Mini-Serveur à la maison (derrière une "Box")
--> configuration réseau
A lire : The SME Server Developer's Guide (EN)
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité