Protéger les accès SSH avec fail2ban

CyrilLeave a comment

Fail2ban est un logiciel qui lit différents fichiers de logs (apache,ssh,cyrus-imap,…) et qui permet d’exécuter des actions en conséquence (envoi de mail, blocage via iptables, …).

En regardant d’un peu plus prêt les logs sur une machine dont le port ssh est ouvert, on remarque :

bruteforcessh

Ce sont des tentatives d’intrusion. Nous allons utiliser le logiciel fail2ban pour bloquer ce genre de tentatives.

L’installation (sous Ubuntu depuis les sources) se fait de manière très simple. Les pré-requis sont d’avoir python & gamin d’installé.

installfail2ban

Il suffit de décompresser l’archive et ensuite de lancer la commande ./setup.py install

Une fois l’installation effectuée, il reste à copier un script de lancement présent dans le répertoire files du répertoire des sources. Il existe plusieurs scripts adaptés à différentes distributions ainsi que des plugins nagios.

installinitrd

Le fichier utilisé sera redhat-initd qui s’adapte facilement pour ubuntu, moyennant quelques légères modifications.

Effectuez ensuite les actions nécessaires pour que ce script soit lancé au démarrage de la machine en fonction de votre distribution.

Nous allons ensuite définir les jails, c’est a dire la configuration des services à surveiller.

Les fichiers de configuration se trouvent dans /etc/fail2ban. Ce derniers contient deux répertoires : filter.d qui défini les regexp a rechercher dans les fichiers de log et action.d qui défini les actions à effectuer en cas de dépassement du nombre d’échecs autorisés.

Le répertoire /etc/fail2ban contient aussi deux fichiers de configuration : fail2ban.conf et jail.conf.

Conformément à la documentation officielle, il est préférable de travailler dans les fichiers fail2ban.local et jail.local qui écrasent les paramètres par défaut définis dans fail2ban.conf et jail.conf.

Voici donc le contenu de mon fichier jail.local :

jaillocal

On défini un jail ssh-iptable. On regarde le nombre d’échecs successifs dans le fichier /var/log/auth.log grâce au filtre sshd (présent dans filter.d). Si le nombre d’échecs est supérieur à 5 durant une période de 180s, alors l’adresse IP est bannie durant 600s.

Il suffit ensuite de lancer fail2ban et de tracer le fichier /var/log/fail2ban.log :

running2

That’s it …

Ceci n’est qu’une courte démonstration des possibilités du logiciel fail2ban, pour plus d’informations, vous pouvez lire la documentation officielle

Installation de Dell OpenManage Server Administrator sur CentOS 5.3

YoannLeave a comment

Cet article décrit tous les étapes pour installer Dell OpenManage Server Administrator sur un serveur Dell doté d’un système CentOS 5.3.

– Placez-vous dans le répertoire suivant : cd /usr/local/src/
– Téléchargez la dernière version de Dell Open Manage : wget http://ftp.us.dell.com/sysman/OM_6.1.0_ManNode_A00.tar.gz
– Créez le répertoire suivant : mkdir OM_6.1.0_ManNode_A00
– Décompressez l’archive : tar -xzvf OM_6.1.0_ManNode_A00.tar.gz -C OM_6.1.0_ManNode_A00
– Placez-vous dans le répertoire suivant : cd OM_6.1.0_ManNode_A00
– Éditez le fichier de configuration suivant : vi setup.sh

GBL_OS_TYPE=${GBL_OS_TYPE_RHEL5}
GBL_OS_TYPE_STRING="RHEL5"

– Installez la dépendance suivante avec l’utilitaire YUM : yum install compat-libstdc++-33
– Créez le répertoire suivant : mkdir /usr/local/omsa/
– Lancez le script d’installation : sh linux/supportscripts/srvadmin-install.sh –prefix /usr/local/omsa/ -d -s -r -w

Installing the selected packages.

Préparation...              ########################################### [100%]
1:srvadmin-omilcore      ########################################### [  6%]
To start all installed services without a reboot,
enter the following command:  srvadmin-services.sh  start
2:srvadmin-omcommon      ########################################### [ 12%]
3:srvadmin-hapi          ########################################### [ 18%]
4:srvadmin-syscheck      ########################################### [ 24%]
5:srvadmin-deng          ########################################### [ 29%]
6:srvadmin-omacore       ########################################### [ 35%]
7:srvadmin-isvc          ########################################### [ 41%]
8:srvadmin-omauth        ########################################### [ 47%]
9:srvadmin-wsmanclient   ########################################### [ 53%]
10:srvadmin-idrac-componen########################################### [ 59%]
11:srvadmin-jre           ########################################### [ 65%]
12:srvadmin-cm            ########################################### [ 71%]
13:srvadmin-idracadm      ########################################### [ 76%]
14:srvadmin-idracdrsc     ########################################### [ 82%]
15:srvadmin-iws           ########################################### [ 88%]
16:srvadmin-omhip         ########################################### [ 94%]
17:srvadmin-storage       ########################################### [100%]

Le répertoire d’installation par défaut de Dell OpenManage se situe à l’emplacement /opt/dell/srvadmin/omsa/.

– Lancez les différents services de Dell OpenManage Server Administrator : srvadmin-services.sh start

Starting Systems Management Device Drivers:
Starting dell_rbu:                                         [  OK  ]
Starting ipmi driver: Already started                      [  OK  ]
Démarrage de snmpd :                                       [  OK  ]
Starting Systems Management Data Engine:
Starting dsm_sa_datamgr32d:                                [  OK  ]
Starting dsm_sa_eventmgr32d:                               [  OK  ]
Starting dsm_sa_snmp32d:                                   [  OK  ]
Starting DSM SA Shared Services:                           [  OK  ]
Starting DSM SA Connection Service:                        [  OK  ]

Dell OpenManage sera lancé automatiquement au démarrage du serveur.

– Éditez le fichier contenant les règles du pare-feu : vi /etc/sysconfig/iptables

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1311 -j ACCEPT

– Redémarrez le pare-feu : service iptables restart
– A l’aide d’un navigateur Web, vous pouvez vous rendre sur l’interface Web de Dell OpenManage Server Administrator en entrant l’URL suivante : https://xxx.xxx.xxx.xxx:1311/.

dell_openmanage

Pour arrêter OMSA, il suffit de lancer la commande suivante : /usr/bin/srvadmin-services.sh stop.

Pour activer OMSA avec l’agent SNMPD : /etc/init.d/dataeng enablesnmp.

Pour procéder à la désinstallation d’OMSA, il suffit de lancer le script suivant : /usr/bin/srvadmin-uninstall.sh.

Nagios : Mesurer la température d’une salle serveur

Yoann11 Comments

Nous allons nous intéresser à la mesure de température et d’humidité d’une salle serveur. Les valeurs mesurées seront récupérées et intégrées à Nagios. Pour cela, un boîtier sensorProbe2 d’AKCP est utilisé.

Le boîtier sensorProbe2 est un équipement réseau de surveillance environnementale. Il est notamment possible de mesurer la température et l’humidité d’une salle serveurs en lui associant des capteurs. Un capteur de température/humidité est branché sur le premier port du boîtier. Le boîtier est également relié au réseau.

nagios_sensorprobe2

Ce boitier embarque un serveur Web et un agent  SNMP (version 1).  Dans cette documentation, nous allons utiliser l’agent SNMP pour récupérer les valeurs mesurées puis nous allons les intégrer dans Nagios.  Deux solutions sont détaillées :

  • Plugin check_snmp
  • Trappes SNMP

Vous pouvez télécharger cette documentation en version PDF à cette adresse. Ce fichier a une taille de 210 Ko et ce consulte avec le logiciel Adobe Reader.

Télécharger la documentation sur l’utilisation de boitiers sensorProbe2 avec Nagios [210 Ko]