Protéger les accès SSH avec fail2ban

Fail2ban est un logiciel qui lit différents fichiers de logs (apache,ssh,cyrus-imap,…) et qui permet d’exécuter des actions en conséquence (envoi de mail, blocage via iptables, …).

En regardant d’un peu plus prêt les logs sur une machine dont le port ssh est ouvert, on remarque :

bruteforcessh

Ce sont des tentatives d’intrusion. Nous allons utiliser le logiciel fail2ban pour bloquer ce genre de tentatives.

L’installation (sous Ubuntu depuis les sources) se fait de manière très simple. Les pré-requis sont d’avoir python & gamin d’installé.

installfail2ban

Il suffit de décompresser l’archive et ensuite de lancer la commande ./setup.py install

Une fois l’installation effectuée, il reste à copier un script de lancement présent dans le répertoire files du répertoire des sources. Il existe plusieurs scripts adaptés à différentes distributions ainsi que des plugins nagios.

installinitrd

Le fichier utilisé sera redhat-initd qui s’adapte facilement pour ubuntu, moyennant quelques légères modifications.

Effectuez ensuite les actions nécessaires pour que ce script soit lancé au démarrage de la machine en fonction de votre distribution.

Nous allons ensuite définir les jails, c’est a dire la configuration des services à surveiller.

Les fichiers de configuration se trouvent dans /etc/fail2ban. Ce derniers contient deux répertoires : filter.d qui défini les regexp a rechercher dans les fichiers de log et action.d qui défini les actions à effectuer en cas de dépassement du nombre d’échecs autorisés.

Le répertoire /etc/fail2ban contient aussi deux fichiers de configuration : fail2ban.conf et jail.conf.

Conformément à la documentation officielle, il est préférable de travailler dans les fichiers fail2ban.local et jail.local qui écrasent les paramètres par défaut définis dans fail2ban.conf et jail.conf.

Voici donc le contenu de mon fichier jail.local :

jaillocal

On défini un jail ssh-iptable. On regarde le nombre d’échecs successifs dans le fichier /var/log/auth.log grâce au filtre sshd (présent dans filter.d). Si le nombre d’échecs est supérieur à 5 durant une période de 180s, alors l’adresse IP est bannie durant 600s.

Il suffit ensuite de lancer fail2ban et de tracer le fichier /var/log/fail2ban.log :

running2

That’s it …

Ceci n’est qu’une courte démonstration des possibilités du logiciel fail2ban, pour plus d’informations, vous pouvez lire la documentation officielle

P2V : De Compaq Proliant ML370 vers Vmware Server

L’abréviation P2V signifie Physical To Virtual, c’est à dire que c’est le procédé qui permet de virtualiser un serveur physique.

Dans notre étude, nous allons virtualiser un serveur Compaq Proliant ML370 G2 équipé d’une carte Raid SmartArray 5i fonctionnant sous CentOS 4.7.

Cependant, cette méthode est utilisable pour tout type de matériel, moyennant quelques légères adaptations.

Pré-requis :

  • Un serveur VMware en état de fonctionnement (VMware 1.0.9 sous Linux dans notre cas)
  • Un disque dur USB d’une capacité suffisante pour contenir des fichiers images de l’ensemble des partitions du serveur physique
  • Un CD bootable de SystemRescueCD
  • Du temps 🙂

1 . Backup du serveur physique

Tout d’abord nous allons créer des fichiers images des partitions du serveur physique sur le disque dur USB.

Le serveur étant en fonctionnement, relever la hiérarchie des points de montage à l’aide d’un cat /etc/mtab

Nous faisons booter le serveur sur le CD SystemRescueCD.
Au prompt du bootloader du CD, il est possible de booter le noyau par défaut (appui sur la touche entrée) ou de taper altkern32 pour avoir accès à un noyau alternatif au cas où celui par défaut ne détecterait pas certains périphériques.

Après le choix du keymap (fr=16), nous nous retrouvons sous le shell de SystemRescueCD.Il est alors temps de connecter le disque dur USB

Grâce à la commande sfdisk -l, il est alors facile de repérer le disque dur USB sur le système (dans mon cas, c’est la seule partition en W95 Fat32).

Ici, le disque USB est en /dev/sda1 et les partitions de mon serveur sont /dev/c0d0p1, /dev/c0d0p2 (swap), /dev/c0d0p3, /dev/c0d0p5, /dev/c0d0p6, /dev/c0d0p7, /dev/c0d0p8.

Nous en profitions également pour relever la taille des partitions (#blocks)

Nous allons donc monter le disque usb :

mkdir /mnt/usbdisk
mount /dev/sda1 /mnt/usbdisk

Nous lançons ensuite l’utilitaire partimage.

Nous choisissons  la partition à sauvegarder (/dev/c0d0p1), le nom du fichier image (/mnt/usbdisk/c0d0p1) et nous validons en appuyant sur F5. Le nom des fichiers est volontairement le même que le nom de la partition afin de faciliter la restauration par la suite.

Dans l’écran suivant, nous laissons toutes les options par défaut et nous poursuivons en appuyant sur F5.

Après validation, le backup commence.

Il faut ensuite recommencer l’opération pour chaque partition présente sur le serveur (exceptée la swap).

2. Restauration sur la machine virtuelle

Nous sommes connecté à la console VMware Server, le disque dur USB étant connecté

Tout d’abord il faut créer la machine virtuelle en prêtant attention à ce que la taille du disque soit au moins très légèrement supérieure à la somme de la taille des partitions sauvegardées.

Ensuite dans les settings de la VM, il faut ajouter un controleur USB en cliquant sur le bouton ADD

usb

Il faut aussi mapper le lecteur CD sur l’image ISO de SystemRescue CD

Nous pouvons alors connecter le disque USB via le menu VM->Removables Devices->USB Devices une fois que la VM est démarrée.

Nous bootons sur le CD de la machine virtuelle. Nous arrivons alors au prompt de SystemRescueCD.

De nouveau, un sfdisk -l permet de repérer les périphériques de stockage.

Ici /dev/sdb1 est le disque USB externe et /dev/sda est le disque dur virtuel.

Grâce à l’utilitaire Fdisk, nous allons recréer des partitions /dev/sda1, /dev/sda2, /dev/sda3, /dev/sda5, /dev/sda6, /dev/sda7, /dev/sda8 de taille légèrement supérieure à celles que l’on a relevées pour /dev/c0d0p1, /dev/c0d0p2 (swap), /dev/c0d0p3, /dev/c0d0p5, /dev/c0d0p6, /dev/c0d0p7, /dev/c0d0p8.

Par exemple si /dev/c0d0p1 faisait 9Go, alors /dev/sda1 fera 9.1Go afin d’éviter d’avoir un message « partition too small » lors de la restauration du fait de la différence de géométrie des disques si l’on utilisait le même nombre exact de blocs.

Ne pas oublier le type de la partition de swap en 82 (Linux Swap).

Formater la partition de swap à l’aide de mkswap /dev/sda2

Nous allons donc monter le disque usb :

mkdir /mnt/usbdisk
mount /dev/sda1 /mnt/usbdisk

Nous lançons ensuite l’utilitaire partimage.

Choisir la partition à restaurer (/dev/sda1),  l’image à utiliser (/mnt/usbdisk/c0d0p1.000). Positionner l’Action à effectuer sur Restore partition from an image file et valider avec F5. Recommencer l’opération pour chaque partition à restaurer.

3. Opérations post-restauration

Une fois les partitions restaurées, toujours sur le CD SystemRescue CD, il convient de les monter afin de pouvoir chrooter dans l’environnement restauré.

Voici le schéma de points de montage utilisé dans le serveur original :

/dev/c0d0p1  ->  /boot
/dev/c0d0p3  ->  /
/dev/c0d0p5  ->  /var
/dev/c0d0p6 -> /usr
/dev/c0d0p7 -> /tmp
/dev/c0d0p8 -> /data

Nous allons donc les monter comme suit :

mkdir /mnt/guest
mount /dev/sda3 /mnt/guest
mount /dev/sda1 /mnt/guest/boot
mount /dev/sda5 /mnt/guest/var
mount /dev/sda6 /mnt/guest/usr
mount /dev/sda7 /mnt/guest/tmp
mount –bind  /dev /mnt/guest/dev

Cette dernière ligne nous permet d’avoir accès aux périphériques lorsque nous serons chrooté dans l’environnement et que nous devrons réinstaller le bootloader.

Nous chrootons dans l’environnement crée :

chroot /mnt/guest /bin/bash

Il suffit ensuite d’éditer le fichier /etc/fstab et de modifier les anciennes références des partitions vers les nouvelles partitions (ex: /dev/c0d0p1 (ou LABEL=/boot) devient /dev/sda1).

L’initrd présent est généré d’après le fichier /etc/modprobe.conf pour fonctionner avec le matériel du proliant ML380G2. Il faut donc le régénérer pour le matériel de la machine virtuelle.

Le fichier /etc/modprobe.conf contient :

alias eth0 tg3
alias scsi_hostadapter cciss

Il faut le modifier ainsi :

alias eth0 pcnet32
alias scsi_hostadapter mptbase
alias scsi_hostadapter1 mptspi
alias scsi_hostadapter2 mptscsih

Un petit less /boot/grub/menu.lst permet de connaitre le noyau (mais surtout l’initrd) utilisé par défaut.

Dans notre cas, il s’agit de initrd-2.6.9-78.0.22.EL.img. Nous allons donc le sauvegarder et en générer un nouveau :

mv /boot/initrd-2.6.9-78.0.22.EL.img /boot/initrd-2.6.9-78.0.22.EL.img.old
mkinitrd /boot/initrd-2.6.9-78.0.22.EL.img 2.6.9-78.0.22.EL

Il nous reste donc à réinstaller le bootloader grub.

Tout d’abord, il faut modifier dans le fichier /boot/grub/menu.lst les références aux anciennes partitions (ex: root=LABEL=/ devient root=/dev/sda3).

Ensuite, exécutons sous l’utilitaire en ligne de commande grub :

root (hd0,0)setup (hd0)

Ceci a pour effet de réinstaller le bootloader.

Il suffit ensuite de sortir du chroot, de rebooter la VM en n’oubliant pas démapper l’ISO du lecteur CD et de déconnecter le disque externe et de booter sur le disque virtuel normalement.

Au premier boot, il se peut que kudzu détecte de nouveau périphériques et notamment la carte réseau. Il suffit alors
de lui remettre les paramètres IP du serveur physique.