fail2ban sme

[unnilennium]

Bonjour,

je suis en train de mettre en place une contribs fail2ban pour sme.

J'aurais besoin de retour d'expérience de personnes ayant déjà tenté l'installation de fail2ban et surtout de ce qu'ils ont monitoré et avec quel filtre (personnalisé ou pas).


plusieurs difficultés rencontrées pour le moment :
- emplacement des fichiers logs
- format de log, besoin de regex adaptées
- iptables , masq et les templates ...

fabriquer des regles pour les services présent dans sme mais non definis par defaut.


Jean-Philippe

[unnilennium]

bonjour,

ca avance

-les templates pour generer les fichiers de config sont près
- l'utilisation de la database e-smith pour generer les modifs dans les templates ok
- les regex pour apache badbots, auth, php open url et apache overflows ont été adaptées
- les chemins des différents log sont corrigés
- demarrage du deamon ok
- surveillance ok
- banissement iptables ok
- mise en liste blanche des ip autorisées pour le server manager, et des ip locales + ip et hotes spécifiques ok . possibilité


reste à faire:

- regex et rule pour (j'aurais besoin de logs avec des tentatives d'intrusions, me contacter par pm):
- ftp : /var/log/ftp/ ou /var/log/proftp
- imaps : /var/log/imaps/current
- pops : /var/log/pops/current
- imap : /var/log/imap/current
- pop : /var/log/pop/current
- qpsmtpd : /var/log/sqpsmtpd/current
- webmail : /var/log/httpd/error_log
- server manager : /var/log/httpd/error_log


ensuite je réfléchi à utiliser une db esmith pour rendre permanent ou long terme les ban d'ips, en effet vous savez que fail2ban contrairement à denyhosts ne conserve pas les ban au redémarrage... alors pourquoi pas profiter de sme pour améliorer fail2ban.

[stephdl]

bein dites donc, il n'est pas très encourageant le forum pour ta contrib....
c'est du beau boulot, et merci de te décarcasser pour la communauté.

Dans tous les cas, c'est vraiment le Soft qui manque à la Sme.....heu remarque le Vpn Site to Site ce serait pas mal aussi

vraiment merci par avance.

[unnilennium]

merci pour le message d'encouragement !

le vpn site to site se fait assez bien avec la contrib open vpn bridge (bon y'a un ou deux trucs à bidouiller mais ca marche)

au passage la regex pour le ftp est prête...

plus que quelque chose pour les intrusion webmail et server manager.

vu que le risque d'intrusion pour les services mail est plus faible je pense que je vais sortir une beta d'ici peu sans regex pour ces services . Surement aussi sans une interface très développée coté manager.

Je préfère me concentrer sur un belle doc wiki concentrant toutes les valeurs des db à régler et tenter de faire un base qui mémorise les IP bannies pour le redémarrage.

Des avis ?

[stephdl]

merci pour le message d'encouragement !

le vpn site to site se fait assez bien avec la contrib open vpn bridge (bon y'a un ou deux trucs à bidouiller mais ca marche)

heu je suis hors sujet mais tu m'interesses !!!!

quels sont les un ou deux trucs à modifier !!!!
je me suis interessé un peu à open-vpn version sme-server manager, à tel point que je me suis fais ma doc (un pense bete)

http://geekeries.de-labrusse.fr/?p=360
http://geekeries.de-labrusse.fr/?p=235

[unnilennium]

@ MUZO : peux tu spliter le sujet en deux à partir de la réponse précedent ce message ?



Je dois avouer que la mise en place la dernière fois remonte un peu mais de souvenir :


- d'abord on assume que les deux reseaux ont des domaiens ip differents exemble 192.168.62.1/24 et 192.168.34.1/24 (je commence à être inventif sur les reseau car je me suis trop souvent trouvé bloqué sur l'accés à mon vpn a cause d'un reseau local identique à mon reseau vpn)

- installer la contrib sur les deux serveurs et configurer
- decider d'un serveur et d'un client
- ajouter la configuration client sur le serveur client (comme sur un poste win win )
- relancer le service
- ajouter le reseau distant comme reseau local ami dans le manager (je me rappel qu'un coté passe comme dans du beurre et que l'autre demande un tweak il faut que je retrouve)

au final j'avais acces avec les adresses ip sans soucis

- reste a tweaker le dhcp pour ajouter le deuxieme sme en passerelle pour que l'acces par nom netbios fonctionne entre les réseaux ( corrigez moi si je me trompe)


recette approximative mais pouvant aider

[sibsib]

Hello unnilennium,

J'avais vu ton post, mais je ne me sentais pas trop motivé

Maintenant, je suis susceptible d'avoir besoin de fail2ban dans un contexte pro, et du coup, en étudiant le produit, je me le verrais bien aussi sur ma SME !

Cherches tu des beta testeurs ? Un coup de main pour les regexp ? (çà, c'est pour la partie SME)
pour fail2ban, l'usage comme filtre sur un serveur web face à des attaques en scripts, çà te parait jouable ? (Sachant que dans ce cas, on pourrait être prêts à se peler des regexp bien spécifiques en fonction de notre cms) - çà, c'est plutôt pour le boulot

Sinon, pour SME, histoire de peut-être faire des tests dans mon coin, tu utilises quelles sources pour fail2ban ?
sur rpm.pbone.net, je trouve ceci pour redhat el 4 : fail2ban-0.8.4-24.el4.noarch.rpm

Merci d'avance pour les réponses, et plus généralement sur ce que tu pourrais dire sur fail2ban. C'est pas tout à fait dans le sujet, mais çà peut intérresser du monde, donc je n'envoie pas en MP.

A+,
Pascal

[unnilennium]

pour le moment c'est un peu en suspend a cause d'un déménagement.

pour info j'utilise :
fail2ban-0.8.4-24.el4

[sibsib]

Hello,

Merci Unnilenium, je vais jouer un peu avec cette version.

Je te souhaits un bon déménagement !

A+,
Pascal

[sibsib]

Re,

Bon, vu ton autre post, je vais patienter quelque peu, mais l'essai de fail2ban n'a pas été concluant.

Et, en cherchant un peu sur le net, je suis tombé sur ceci (chez un dénommé jpp, tu vois peut-être de qui il s'agit ) :

fail2ban

impossible pour le moment de le faire tourner avec SME 7 les log de sshd sont fait avec multilog, le format est reconu dés la version 0.6.1, mais la façon dont est ecrit le fichier est pris pour une rotation du log.(ouverture écriture fermeture et donc modification de la date de derniere modification)

la version 0.8 actuelle est pour python 2.4, la 0.9 qui viendra un jour est prévue pour 2.3

(Source : http://smeserver.pialasse.com/index.php/Ssh#fail2ban )

Du coup, je bloque un peu, et je crains que le problème soit plutôt la version de python que le fait du mode d'écriture dans les logs.

Donc, je suppose que tu as trouvé un contournement, mais pas moi !

Quand tu peux

Merci,
Pascal[/quote]

[unnilennium]

regarde l'historique ca date d'il y'a qq années ^^

ca tourne actuellement

le probleme à l'epoque etait le non support de la version de python de sme par fail2ban, depuis ils sont supporté les anciennes version de python et ca tourne.


si tu veux je peux te faire un petit tar avec mes regexp et templates


JP

[sibsib]

Hello,

Ah oui, je veux bien !!!

schirrms chez schirrms point net

Merci,
Pascal

[MaRCoOf]

Bonjour à vous tous

Je veux bien tester moi aussi !
Marc

[HP77]

Bonjour,

Ayant eu quelques attaques sur mon serveur, je voudrais bien pouvoir "filtrer" un peu les tentatives de connexion.

Jdh ayant évoqué la solution Fail2Ban, j'aimerais bien, moi aussi, mettre en oeuvre cette solution avant mon retour en France à la mi-décembre pour quelques semaines.

Qu'en est-il de vos essais ?
(si les choses ont évoluées notablement pour une "révélation" publique, bien entendu )


Personnellement, j'aimerais bien tester en partant de zéro mais pas avec SME et son système de Templates encore bien opaque à la lumière de la connaissance (en ce qui me concerne) et pas en si peu de temps (deux semaines) avec tant de choses encore à gérer (déménagement une semaine avant le départ ...

Bien Merci d'avoir pris le temps de me lire et, peut-être de me répondre.

Cordialement,
HP

[unnilennium]

désolé a tous j'etais dans une grande ligne droite qui se termine demain (examen de synthèse de doctorat) , après cela les vacances en France, et j'y retourne en janvier pour finir cette contrib.


JP