Aide pour Script de surveillance de serveur

delta07 · Le 06/07/2013, à 14:42

Hello, je sais je vous assaille de question en ce moment, mais mon serveur n'est toujours pas parfait

Je voudrais faire un script qui surveillerai mon reseau, par exemple qui se lancerai toutes les heures, et qui ecrirai dans un fichier toutes les connexion et tout ce qui est necessaire a la surveillance de mon serveur.
Ensuite j'aimerai passer un filtre, genre un grep ou un truc du genre afin de mettre dans un autre fichier log, toutes les connexions non-norma (filtrage par ip, ou je ne sais quoi)

Le probleme, c'est que je ne sais pas trop faire de script shell (mais je peux apprendre), mais plus gros souci encore, je ne sais absolument pas quoi et pourquoi surveiller...
Genre les connexions, les ports, les mouvements de fichiers ? Je ne sais pas trop, alors si un pro de la securite serveur pouvait m'aider je lui en saurai gre

Je suis pres a plancher sur le langage shell, mais j aimerai bien savoir quoi mettre dedans pour avoir des log pertinent pour surveiller mon serveur.

Merci

delta07 · Le 07/07/2013, à 16:11

Personne pour me monter la voie ?

Brunod · Le 07/07/2013, à 16:29

Commence par lire ce que sait faire webmin

Amarokk · Le 07/07/2013, à 21:24

Si tu souhaites surveiller les connexions à ton serveurs, tu peux en effet coder un script assez facilement qui va checker à un intervalle de temps régulier si tes logs de connexion SSH (/var/log/auth.log) font état de connexions via une IP inconnue. En gros tu mettrais dans une variable toutes les IPs que tu veux autoriser, et si les logs contiennent une IP différente, envoyer un mail.

Le petit souci c'est que si ton serveur se fait compromettre, le premier truc qu'ira voir le dit hacker, c'est tes tâches planifiées (crontab). Il y verra donc ton script et le supprimera (s'il réussit à passer root, ce qui est fort probable).

En bref je te conseille plutôt de lire des trucs pour sécuriser ton serveur efficacement, plutôt que de faire des scripts toi même pour remonter les erreurs (mieux vaut prévenir que guérir), même si l'un n'empêche pas l'autre, surtout que ça va t'aider à avancer avec Shell :-)
Tu peux trouver des idées intéressantes ici.

Good luck ;-)

delta07 · Le 07/07/2013, à 22:00

Merci pour vos conseils

Amarokk, c'est exactement le site que je suis alle voir pour configrer mon iptable

A priori, je n autorise que les connexions en local, web ou ssh, avec un fail2ban pour ssh, et une unique redirection de port depuis ma box vers mon serveur, pour le ssh.
J espere que ca suffit, mais effectivement je vais essayer de me mettre au shell, donc je vais essayer d ecrire ce que tu viens de me conseiller (meme si ca sert a rien ).
Merci

guedz45 · Le 11/07/2013, à 18:51

Bonjour,

j'avoue avoir lu un peu lu en diagonale la problématique mais il me semble que fail2ban pourrait d'aider

Dans jail2ban en cas de connexion erroné à ton ssh par exemple il te bloque la personne pour X minutes et peut t'envoyer un email pour te dire qu'il a bloquait cet IP

Dans jail2ban tu peux définir une liste d'ip d'exclusion à ne jamais bloquer

Ainsi pour les ips autre que ta "white list" en cas de plus de tentative erroné sur ton ssh il est bloqué pour x minutes et tu es prévenue par email de ce blocage

Cordialement,
Guedz

Dernière modification par guedz45 (Le 11/07/2013, à 18:51)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 06/07/2013, à 14:42

Aide pour Script de surveillance de serveur

#2 Le 07/07/2013, à 16:11

Re : Aide pour Script de surveillance de serveur

#3 Le 07/07/2013, à 16:29

Re : Aide pour Script de surveillance de serveur

#4 Le 07/07/2013, à 21:24

Re : Aide pour Script de surveillance de serveur

#5 Le 07/07/2013, à 22:00

Re : Aide pour Script de surveillance de serveur

#6 Le 11/07/2013, à 18:51

Re : Aide pour Script de surveillance de serveur

Pied de page des forums