Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa
Archives de la liste
Re: [sympa-fr] Migration de sympa vers un nouveau serveur
- From: Laurent Spagnol <adresse@cachée>
- To: adresse@cachée, Luc Didry <adresse@cachée>
- Subject: Re: [sympa-fr] Migration de sympa vers un nouveau serveur
- Date: Thu, 31 Jan 2019 11:38:21 +0100
Le 31/01/2019 à 10:19, Luc Didry a écrit :
mercredi 30 janvier 2019, 14:46:50 CET Laurent Spagnol wrote:
<TROLL>
Blacklister un scanner de sécurité = mauvaise idée !!
Je préfère recevoir des messages à la con dans ce genre et
éventuellement une remontrance de notre RSSI s'il découvre une faille
plutôt que de me retrouver avec un rootkit sur un serveur ...
Le sûr à 100% n'existe pas, donc bretelles + ceinture + slip + caleçon ;)
</TROLL>
Mais comme on sait pas si c'est un scanner de sécurité ou un scanner
de vulnérabilités… 😉
C'est pas faux ...
Pour faire le tri, je met un truc en frontal du genre "fail2ban":
- motif de détection: regexp inversée qui matche uniquement les URLs de Sympa (tout ce qui essaye d'atteindre des URLs qui n'ont rien à voir avec Sympa est suspect)
- des filtres côté Nginx (oui, je ne met pas Apache en frontal) qui permettent de détecter des bizarreries du genre tentative Shellshock => 403
- liste blanche des scanners "connus" (le nôtre et celui de Renater) pour qu'ils puissent faire leur boulot
Vu que fail2ban n'était pas nativement compatible IPv6 (il me semble qu'il l'est à présent), j'en ai écrit un qui fonctionne sur le même principe (patcher Fail2Ban ? => pas le courage de me mettre à Python !). Rien de compliqué: ça analyse les logs en continu, et ça déclenche des actions en fonction des filtres et des triggers définis pour le service. (https://github.com/lspagnol/simpleban2).
Pour Sympa, la conf du filtre donne quelque-chose comme ça:
LOG='/var/log/nginx/access.log'
SEARCH_CMD='/bin/grep -P'
SEARCH='^.* - - \[.*\] "(POST|GET) (?!/( |(favicon\.ico|robots\.txt|sitemap\.xml) |apple-touch-|apple-app-|tsync/|(sympa( |/|\?)|sympasoap( |/)|static-sympa/)))'
EXTRACT='s/ - - \[.*$//'
ACTION_IN='-j DROP'
ACTION_OUT='-j DROP'
ENABLE_BAN=1
C'est pas la panacée, mais c'est mieux que rien.
Cdlt,
LS
--
Laurent Spagnol
Administrateur GNU/Linux
Responsable du pôle système
Service réseau et télécom
Direction du Numérique
Université de Reims
Campus du Moulin de la Housse
Bâtiment 3
BP 1039 - 51687 Reims cedex 2
Plan d'accès : https://frama.link/DN-URCA
Tel: +33 3 26 91 88 32
Fax: +33 3 26 91 31 87
https://numerique.univ-reims.fr
-
[sympa-fr] Migration de sympa vers un nouveau serveur,
Luc Didry, 25/01/2019
-
Re: [sympa-fr] Migration de sympa vers un nouveau serveur,
David Verdin, 25/01/2019
-
Re: [sympa-fr] Migration de sympa vers un nouveau serveur,
Luc Didry, 29/01/2019
-
Re: [sympa-fr] Migration de sympa vers un nouveau serveur,
Luc Didry, 30/01/2019
-
Re: [sympa-fr] Migration de sympa vers un nouveau serveur,
David VERDIN, 30/01/2019
- Re: [sympa-fr] Migration de sympa vers un nouveau serveur, Luc Didry, 30/01/2019
-
Re: [sympa-fr] Migration de sympa vers un nouveau serveur,
Laurent Spagnol, 30/01/2019
-
Re: [sympa-fr] Migration de sympa vers un nouveau serveur,
Luc Didry, 31/01/2019
- Re: [sympa-fr] Migration de sympa vers un nouveau serveur, David Verdin, 31/01/2019
- Re: [sympa-fr] Migration de sympa vers un nouveau serveur, Laurent Spagnol, 31/01/2019
-
Re: [sympa-fr] Migration de sympa vers un nouveau serveur,
Luc Didry, 31/01/2019
-
Re: [sympa-fr] Migration de sympa vers un nouveau serveur,
David VERDIN, 30/01/2019
-
Re: [sympa-fr] Migration de sympa vers un nouveau serveur,
Luc Didry, 30/01/2019
-
Re: [sympa-fr] Migration de sympa vers un nouveau serveur,
Luc Didry, 29/01/2019
-
Re: [sympa-fr] Migration de sympa vers un nouveau serveur,
David Verdin, 25/01/2019
Archives gérées par MHonArc 2.6.19+.