SME 7.5 + Contribution DenyHosts

par **HP77** » 08 Déc 2010 17:48

Bonsoir,

Je viens donc de procéder à l'installation de la contribution de ce cher "Dr Pialasse", cf. :

unnilennium a écrit:pour ssh il y'a denyhost qui est bien plus efficace, contribs par un certain jp pialasse

Là, même l'adresse IP de ma machine que j'ai pourtant ajoutée dans la "liste blanche" ne peut plus se connecter.

L'adresse Ip continue de figurer dans la "liste noire".
Je pensais qu'en l'ajoutant dans la liste blanche, cela l'enlèverait automatiquement de la liste noire.

Et bien oui, j'ai pas pensé à ajouter mon adresse IP (obtenue par DHCP) avant de d'activer le soldat DenyHosts.
Je ne me faisais pas de bile puisque j'accède au Server-Manager via HTTPSet que, au pire, j'ai toujours un clavier + écran connectés au serveur via un "KVM Switch".

Je suis bon pour aller modifier cette liste noire à la main, si je la trouve...

Autrement, gros problème :
Comment je gère un accès depuis mon serveur qui va pousser en France et qui, comme celui-ci, sera au régime "DynDNS" ??
On ne peut pas ajouter un nom de domaine mais que des adresses IP aux listes blanche/noire.

C'est bien dommage.
M'enfin, c'est peut-être aussi dû au fait que DenyHosts n'a pas été conçu dans cette optique. :wink:

Côté réseau local, j'aurais bien aimé aussi pouvoir utiliser un filtre pour autoriser/interdire sur une plage d'adresses comme par exemple : 192.168.0.0/24 (=192.168.0.xxx) ou bien encore : 192.168.0.1-192.168.0.123

A qui vais-je demander un coup de main pour "améliorer" le confort d'utilisation de ce petit joujou ?
("bibi" et "l'ami G.", j'en suis sûr! Mais, qui d'autre pourraît m'aider sur cette intervention "chirurgicale" ?)

unnilennium a écrit:et commence par interdire l'accès par mot de passe et n'autorise que les clefs ssh (site de grand-pa pour voir le how to pour les creer)

Là, je te remercie de m'avoir lancé sur cette piste.
Cela dit, si l'on peut (il me semble que oui, un peu comme pour OpenVPN) combiner les deux (mot de passe + clefs SSH), ça ne sera que mieux. :wink:

Bon, et bien, encore ça de plus sur les bras avant le départ pour la France... :roll:

Sur ce je vous laisse, je suis invité chez Morphée...

Cordialement,
HP

P.S.
Le point de départ de la discussion était ici : fail2ban sme

par **unnilennium** » 08 Déc 2010 21:50

on ne peut pas retirer manuellement une adresse ip une fois qu'elle est banie
il faut attendre que la periode de grace soit épuisée pour qu'elle soit retirée.

par **bethebeast** » 08 Déc 2010 22:39

hey

unnilennium a écrit:on ne peut pas retirer manuellement une adresse ip une fois qu'elle est banie
il faut attendre que la periode de grace soit épuisée pour qu'elle soit retirée.

Pourtant, je suis passé par là, et comme je ne pouvais pas attendre, je suis passé par les templates

Je suis passé par un autre poste évidement !

Sinon, je pense (à vérifier) qu'il est possible de passer des @IP par :

Code: Tout sélectionner: db configuration setprop denyhost ValidFrom 1.2.3.4 signal-event expand-templates

(ATTENTION : étant donné mon manque de sérieux, je ne trouve plus le bout de papier où j'avais tout noté ! Donc, à confirmer !)

Sinon, il me semble que c'est possible avec une commande du genre :

Code: Tout sélectionner: db configuration setprop sshd AllowHosts 1.2.3.4 signal-event remoteaccess-update

Mais ça aussi est à vérifier/confirmer !

Faut dire que ce soir, ma mémoire me fait défaut... :oops:

@+

PS : "signal-event expand-templates" n'existe pas !

par **bethebeast** » 09 Déc 2010 00:53

Bon, vu la mauvaise image que j'ai pu donné de moi même (dans le dernier post), mon surmoi a pris un sacré coup, et a décidé de se rattraper =P~

C'est du bricolage, mais l'essentiel est là, pour un dépannage rapide !

Si jamais une @IP légitime se retrouve coincé devant la porte à cause de DenyHost ou de l'user lui même, il suffit de :

Supprimer/commenter la ligne correspondante dans le fichier

Code: Tout sélectionner: /etc/hosts.deny_ssh

Ajouter l'@IP en question à la db de DenyHosts :

Code: Tout sélectionner: db configuration setprop denyhosts ValidFrom 1.2.3.4 signal-event remoteaccess-update

en tout cas, chez moi, ça marche :roll:

J'ai essayé avec :

Code: Tout sélectionner: signal-event conf-denyhosts

Sans avoir le résultat escompté

Je crois que ce foutu surmoi va pouvoir dormir tranquillisé :shock:

@+

PS : je précise quand même que je ne suis pas convaincu de ce brouillon...le ValidFrom m'intrigue

Je ne sais pas si c'est la bonne variable :oops:

par **unnilennium** » 09 Déc 2010 04:25

ton bricolage ne fonctionne que si denyhosts n'est pas redémarré et qu'une nouvelle ip n'est pas ajoutée dans les bans sinon il refait le fichier modifié.

D'ou le fait que cela ne marche pas avec signal-event conf-denyhosts

Pour ValidFrom la variable stocke la liste des ip autorisées.... docn attention de ne pas écraser le contenu avec la commande config setprop denyhosts ValidFrom, suivi de signal-event conf-denyhosts pour propager les modifs

Pour répondre à la question pour enlever une ip injustement bannie : http://denyhosts.sourceforge.net/faq.html#3_19

Pour ce qui est de configurer un ensemble d'ip d'un coup ou même d'empecher un dns d'etre bloqué :
http://denyhosts.sourceforge.net/faq.html#3_7

il faudra faire ainsi :

Code: Tout sélectionner: mkdir --parent /etc-e-smith/templates-custom/var/lib/denyhosts/allowed-hosts vi /etc-e-smith/templates-custom/var/lib/denyhosts/allowed-hosts/99perso

et ajouter dans le fichier soir la plage ip ainsi :

Code: Tout sélectionner: 192.168.1.[1-89]

soit le dns:

Code: Tout sélectionner: http://www.mondns.no-ip.org

(ou les deux

)

puis

Code: Tout sélectionner: signal-event conf-denyhosts

par **HP77** » 13 Déc 2010 09:37

Bonjour,

J'ai pas mal de chose à dire depuis la dernière fois mais, devant re-vérifier certains points et n'ayant pas eu assez de temps à moi jusque maintenant, je conserve mes deux brouillons pour plus tard...

Code: Tout sélectionner: 10 Déc 2010 14:47 Re: SME 7.5 + Contribution DenyHosts Sujet: SME 7.5 + Contribution DenyHosts Charger un brouillon Voir et/ou éditer 10 Déc 2010 14:41 Re: SME 7.5 + Contribution DenyHosts Sujet: SME 7.5 + Contribution DenyHosts Charger un brouillon Voir et/ou éditer

Juste pour info : la page Wiki suivante : http://wiki.contribs.org/Denyhosts (in English, qui était restée ouverte sur mon PC du boulot et que je viens de retrouver...) semble donner des informations complémentaires à la page en français pour ce qui est de la configuration.
J'y jetterais à nouveau aussi un coup dès(?) que possible.

A++ :wink:

HP_

par **HP77** » 17 Déc 2010 19:44

---Message issu d'un brouillon datant du 09 Déc 2010 14:47 après perte de ma belle tartine presque terminée---

Bonjour,

Je tiens à vous remercier pour vous être penché sur ma question aussi vite et avec autant d'implication.
Sincèrement, Merci messieurs !

@ "Be The Beast" :
J'espère que tu ne m'en voudras pas d'avoir préféré tester la cuisine de notre "bon Docteur" qui est à l'origine de la contribution "DenyHostsSME".

N'étant pas encore habitué à "vi-aïe", j'ai préféré "pico"... :

Code: Tout sélectionner: # mkdir --parent /etc-e-smith/templates-custom/var/lib/denyhosts/allowed-hosts # pico /etc-e-smith/templates-custom/var/lib/denyhosts/allowed-hosts/99perso

Le contenu de mon fichier "99perso" est le suivant:

Code: Tout sélectionner: 192.168.123.* hp1977.dyndns.org MonDomaineFR.MonDynDNS.xyz

Après avoir lancé la moulinette suivante :

Code: Tout sélectionner: # signal-event conf-denyhosts

Ce n'est pas mieux.

Je ne sais pas si c'est normal mais ces nous paramètres ne sont pas listés dans le panneau SSH DenyHosts de ServerManager.

Bon, comme il se fait super tard pour moi (01h30) et que je suis toujours au boulot... :roll:

je ne vais donc pas pouvoir compléter la tartine que j'avais rédigé la semaine dernière.

De mémoire, je me souviens que :
- je recherchais le "Work_Dir" utilisé pour la contribution SME
- Je cherchais aussi à savoir à combien de temps la période de grâce de la version SME a-t-elle été fixée
- Quels étaient les options de configuration de DenyHosts, en particulier concernant la résolution des noms de domaine, voir le second point abordé (voir "ALLOWED_HOSTS_HOSTNAME_LOOKUP") sur cette page : http://denyhosts.sourceforge.net/faq.html#allowed
- Peut-on forcer la "purge" : http://denyhosts.sourceforge.net/faq.html#2_9 etc...

Bon, je poste mais pas sans avoir l'impression de m'endormir aussi sur certains points. :roll:

Merci encore.
Cordialement,
HP

par **HP77** » 17 Déc 2010 19:52

---Message issu d'un brouillon datant du 10 Déc 2010 14:41---
Bonjour,

Je viens d'installer la contribution (DenyHosts) également sur mon serveur au boulot et j'ai eu droit à ceci :
- Service = Disabled (par défaut)
- J'ajoute l'adresse IP de ma machine, je clique sur le bouton [ SAVE ]
- Paf : j'ai une liste d'hôtes bloqués qui apparaît ! ??

Cela me paraît un peu surprenant alors que le service est sensé être à l'arrêt.

Côté saisie des informations, impossible de préciser un 'range' d'adresses IP avec les " [ " et " ] " ou même d'utiliser ' * ' tout autant qu'il est impossible d'utiliser un nom d'hôte comme ServeurAgressif.com.

Autrement, côté amélioration du confort d'utilisation, ce qui serait bien sympa ce serait d'avoir un champ "commentaire" en face des adresses IP authorisées / bloquées pour pouvoir se rappeler pourquoi c'est autorisé / bloqué :
- 192.168.0.321 : "Serveur de Backup Affa"
- 172.168.0.321 : "PC de M. Untel bourré de virus"
- 213.132.321.456 : "Serveur Web pirate qui m'attaque tout le temps depuis le 10-12-2010"

Bon, aller, je retourne à mes "duties" de gratte-papier du moment... #-o

A+

Cordialement,
HP