[Topic unique] Sécuriser Owncloud avec Fail2ban

[laster13]

Bonsoir,

Plusieurs points qui nécessiteront une mise à jour du tuto

- j ai du creer manuellement le fichier "auth.log" dans "/var/log/owncloud"
- je me suis trompé dans les postinit et shudown dans Système|Avancé|Scripts de commande
il faut mettre
"/mnt/pool1/app/f2banner start" en postinit
"/mnt/pool1/app/fail2banner stop" en shutdown

ces 2 fichiers doivent au préalable etre rendu excecutable
chmod a+x /mnt/pool1/app/f2banner
chmod a+x /mnt/pool1/app/fail2banner

ensuite soit sur d'avoir bien modifier le fichier database.php
et d'avoir modifier l IP dans

[owncloud]
enabled = true
action = owncloud[localhost=10.0.0.21]
filter = owncloud
logpath = /var/log/owncloud/auth.log
maxretry = 3

tu remplaces 10.0.0.21 par celle de ta jail
et enfin

# Fail2Ban configuration file
#
# Author: Nick Munger
# Modified by: Alexey Kruglov
#
# $Revision$
#

[Definition]

# Option: actionstart
# Notes.: command executed once at the start of Fail2Ban.
# Values: CMD
#
actionstart =


# Option: actionstop
# Notes.: command executed once at the end of Fail2Ban
# Values: CMD
#
actionstop =


# Option: actioncheck
# Notes.: command executed once before each actionban command
# Values: CMD
#
actioncheck =


# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionban = echo "ipfw add deny tcp from <ip> to <localhost> <port>" > /tmp/fail2ban


# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionunban = echo "ipfw delete \`ipfw list | grep -i <ip> | awk '{print \$1;}'\`" > /tmp/fail2ban

[Init]
# Option: port
# Notes.: specifies port to monitor, as for me, it not understand http and https, I wrote port number
# Values: [ NUM | STRING ]
#
port = 443

# Option: localhost
# Notes.: the local IP address of the network interface
# Values: IP
#
localhost = 127.0.0.1 10.0.0.21

tu remplaces également l IP et le port 443 par le port que tu as mis dans lighttpd.conf

Ensuite tu relances le serveur

deja on voit ca apres on avise

[therevenger30]

Modifications effectuées.
Situation inchangée.
Login owncloud brické d'entrée mais page d'owncloud bien accessible.
Test de mauvais login, rien dans les log n'apparait.

UNe question, dans le tuto tu indique qu'il faut créer les deux fichiers
/mnt/pool1/app/f2banner
/mnt/pool1/app/fail2banner

c'est hors de la jail, ca pas de soucis. Mais on le fait en login admin (via ssh comme moi) ou en restant dans les droits après SU - ? (puisque pour aller dans la jail il faut monter en SU).

Merci de ton aide.

Je ne suis pas sur de rester sur le sujet ce soir en revanche.

[therevenger30]

dans les logs de lighttpd j'ai juste ceci qui vient :

Code: Select all

2015-04-20 23:35:18: (log.c.166) server started
2015-04-20 23:35:18: (server.c.1044) WARNING: unknown config-key: cgi.assign (ignored)

A priori rien de méchant.

[laster13]

Je travaille toujours en root et pour entrer dans la jail je tape simplement jexec 1 csh sans avoir taper SU au préalable. Le chiffre correspond a l id de ta jail. Je me sers de winscp pour modifier les fichiers, plus facile qu en ssh

edit : Dans le dossier tmp, as tu le fichier fail2ban ? Sinon essaie de le créer manuellement (vide ).

[therevenger30]

Pour clore le sujet j'ai écraser la jail et tout repris à zéro.