Sécuriser un serveur Ubuntu 20.04 et bannir les IP avec iptables

Temps de lecture estimé: 2 minutes

Edit du 30/05/2022: pour bannir les IPs, cet article reste pertinent. Par contre, pour le problème spécifique de sniffeur sur le fichier /xmlrpc.php ou /admin.php, j'ai mis en place quelque chose de plus efficace: une règle spécifique de Ban pour fail2ban.
(et c'est ici pour l'installation et la configuration basique de fail2ban)

J’ai récemment décidé de regarder les logs d’accès sur mes différents domaines et sous-domaines hébergés sur mon serveur. J’ai récupéré tous les journaux qui étaient disponibles pour mes virtualhost apache (/var/log/apache2).

Je n’étais pas vraiment surpris de voir, entre les robots de Google, Bing et autres,  d’autres tentatives d’accès à des fichiers sensibles, existant ou non.

Continuer la lecture de Sécuriser un serveur Ubuntu 20.04 et bannir les IP avec iptables
Partagez l'article:
FacebookTwitterEmailLinkedIn

Perte d’IP v4 sous Ubuntu 20.04 (apparmor et dhclient)

Temps de lecture estimé: 1 minute

Ça fait quelques jours (depuis une mise à jour je ne sais quand… ) que je me réveille et que je constate que mon serveur est offline. Je perdais sans raison apparente l’adresse ip (seulement l’ipv4 puisque l’ipv6 restait).

Tous les jours j’allais sur l’interface web d’Esxi pour avoir un accès direct à la machine virtuelle (heureusement que ce n’était pas un serveur physique) pour lancer manuellement la commande:

dhclient -4 -v

Pour demander le bail d’une ipv4 au serveur DHCP.

Il m’a fallu un peu de temps avant que je me décide à régler le problème à la source et pour de bon. En regardant dans les logs j’ai trouvé qu’apparmor empêchait dhclient de s’exécuter correctement:

[61607.045817] audit: type=1400 audit(1589264421.828:46): apparmor="DENIED" operation="open" profile="/{,usr/}sbin/dhclient" name="/proc/365954/task/365955/comm" pid=365954 comm="dhclient" requested_mask="wr" denied_mask="wr" fsuid=0 ouid=0

Ce n’est peut être pas la solution la plus clean, mais j’ai tout simplement désactivé dhclient de apparmor. Tout simplement en créant un lien symbolique et en plaçant le script apparmor de dhclient dans le dossier disable:

ln -s /etc/apparmor.d/sbin.dhclient /etc/apparmor.d/disable/sbin.dhclient

Edit du 02/05/2021:

comme suggéré par John Johansen dans les commentaires, la solution la plus propre est d’ajouter une règle dans le fichier:

/etc/apparmor.d/sbin.dhclient

en dessous des règles existantes, il faut rajouter:

@{PROC}/@{pids}/task/[0-9]*/comm rw,

puis avec aa-enforce (à installer avec apt si ce n’est pas encore installé sur ton système):

aa-enforce /etc/apparmor.d/sbin.dhclient

la discussion originale se trouve sur https://bugs.launchpad.net/ubuntu/+source/isc-dhcp/+bug/1918410 mais ce problème ne devrait plus se poser puisque John Johansen a corrigé le bug dans apparmor (https://gitlab.com/apparmor/apparmor/-/merge_requests/730)

Partagez l'article:
FacebookTwitterEmailLinkedIn

Mon Infrastructure IT perso

L’informatique, les évolutions technologiques, le web sont des secteurs qui me passionnent.

Au-delà de l’utilisation que l’on peut en faire, je suis curieux et j’aime bien comprendre ce qu’il y a derrière.

Avec le temps j’ai découvert d’autres mondes tout aussi passionnants que sont le développement personnel, la nutrition, l’entrepreneuriat, les finances personnelles, l’organisation, l’efficacité, le marketing et tous les mécanismes psychologiques qui y sont liés (l’humain est vraiment une machine de fou).

Avec ces vastes domaines à explorer, je suis moins penché sur l’informatique, d’autant plus qu’il est très difficile de se maintenir à jour sur toutes les technos vue la vitesse à laquelle elles évoluent

Je reste pourtant un geek dans l’âme et au fil des ans, j’ai créé chez moi une petite infrastructure informatique sympa, à la hauteur je pense d’une TPE.

Continuer la lecture de Mon Infrastructure IT perso

Partagez l'article:
FacebookTwitterEmailLinkedIn