Tag soft
4/1/2010 Ssmtp pour remplacer sendmail
Sur mon serveur FreeBSD j'ai 4 jails et par défaut le système envoie régulièrement des security run output à root@localhost pour l'informer de ce qu'il se passe sur le système (nouveau fichiers etc). Tout ça c'est très bien sauf que un hote et 4 jails ça fait 5 compte mail à visiter, c'est pas trop convi et en plus on a pas envie de faire tourner sendmail juste pour ça.
J'ai donc décidé d'utiliser un MTA très simple appelé (devinez comment) : Simple smtp agent. Chaque mail envoyé depuis la machine (en appelant sendmail) partira vers un serveur smtp de mon choix, ainsi je récupère tous les mails sur mon compte mail usuel.
# cd /usr/ports/mail/ssmtp # make install Information for ssmtp-2.62.3: Install notice: sSMTP has been installed successfully. To replace sendmail with ssmtp type "make replace" # make replace
Ensuite j'ai crée mon /usr/local/etc/ssmtp/ssmtp.conf :
# Serveur de mail à contacter pour l'envoi + le port # par defaut c'est le port 25 mailhub=mail.philpep.org:578 # Domaine d'où semble venir le mail rewriteDomain=philpep.org # Domaine à donner pendant le HELO # À accorder avec le reverse DNS de votre machine # vu depuis le serveur de mail. hostname=shen.philpep.org
Arrangez vous pour que le serveur de mail accepte de vous relayer, moi c'est le cas parce que je suis en local et mon postfix relaie ce qui vient du réseau local. Mais si ce n'est pas le cas (genre vous utilisez le serveur mail de votre fournisseur de mail), on peut configurer l'authentification SMTP, SSL/TLS et tout le reste.
Ensuite désactivez sendmail dans /etc/rc.conf puisqu'il ne sert plus :
sendmail_submit_enable="NO" sendmail_outbound_enable="NO" sendmail_msp_queue_enable="NO"
Pour tester l'envoi :
$ dmesg | mail -s "works ?" lapin@barreenfer.com $ if [[ $? -ne 0 ]]; then man ssmtp; fi
EDIT 5/01/10 17:15
- client smtp -> MTA
18/11/2009 fail2ban sshd et pf
Mon /var/log/auth.log est blindé de choses du genre :
Nov 18 17:56:27 lenine sshd[49297]: Invalid user marcio from 24.17.93.35 Nov 18 17:56:27 lenine sshd[49297]: error: PAM: authentication error for illegal user marcio from 24.17.93.35 Nov 18 17:56:27 lenine sshd[49297]: Failed keyboard-interactive/pam for invalid user marcio from 24.17.93.35 port 63330 ssh2 Nov 18 17:58:05 lenine sshd[49312]: Address 92.126.194.108 maps to alfa.navsystem.ru, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Nov 18 17:58:05 lenine sshd[49312]: Invalid user marcio from 92.126.194.108 Nov 18 17:58:05 lenine sshd[49312]: error: PAM: authentication error for illegal user marcio from 92.126.194.108 Nov 18 17:58:05 lenine sshd[49312]: Failed keyboard-interactive/pam for invalid user marcio from 92.126.194.108 port 38920 ssh2
C'est une attaque classique par dictionnaire mais distribuée. Ma seule défense pour l'instant c'est mon parre feu qui bloquait les bruteforces un peu trop rapides. Alors même si pf en filtre quand même pas mal, les petits malins tournent sur plusieurs IPs pour faire un bruteforce moins visible.
J'ai donc décidé de bloquer le reste avec fail2ban, la conf par défaut n'est pas adapté à ma config, j'ai des besoin précis sur le filtre sshd et il faut que ça marche avec pf.
L'install est toujours aussi simple :
# make -C /usr/ports/security/py-fail2ban install
La conf est dans /usr/local/etc/fail2ban
En premier lieu, créer l'action pour pf :
action.d/pf.conf
[Definition] actionstart = actionstop = actioncheck = actionban = pfctl -t flood -T add <ip> actionunban = pfctl -t flood -T del <ip>
Comme vous voyez on va largement utiliser les tables pf, il y a donc quelques modifs à faire dans votre /etc/pf.conf :
# La table table <flood> persist # On laisse passer tout sauf les IP de <flood> pass in inet proto tcp from ! <flood> to $ext_if port ssh
Ensuite on modifie le filtre filter.d/sshd.conf :
[INCLUDES]
before = common.conf
[Definition]
_daemon = sshd
failregex = ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT\s*$
ignoreregex =
Et on active le filtre dans jail.conf :
[ssh-pf]
enabled = true
filter = sshd
action = pf
sendmail-whois[name=SSH, dest=root@localhost, sender=noreply@localhost]
logpath = /var/log/auth.log
maxretry = 1
bantime = 86400
Ils sont bannis pour 1 jours (de quoi leur faire perdre beaucoup de temps). En prime pour chaque ban vous recevez le whois de l'IP concernée par mail.
Finalement on oublie pas de lancer fail2ban :
# echo fail2ban_enable=\"YES\" >> /etc/rc.conf # /usr/local/etc/rc.d/fail2ban start
Ce qui pourrait être intéressant c'est de choper automatiquement les adresses mail Abuse du whois pour envoyer un mail au FAI du méchant pour lui dire tout ce qu'on pense de son client. Mais bon, on ne va pas non plus faire de délation à la HADOPI.
31/10/2009 Spamd
Spamd ou comment bloquer les spams sans discriminer à priori des adresses IPs et sans remettre en cause la neutralité du réseau.
J'ai écrit une page sur spamd sur le principe de fonctionnement et sa mise en place sur OpenBSD.
Ce tout nouveau wiki cogéré par philpep.org et bender-labs.org est plus adapté que mon blog pour ce genre de choses car vous pouvez aussi apporter votre contribution pour faire part de votre expérience (ne serait-ce que pour corriger d'éventuelles fautes d'orthographes et de grammaires :-) ).