Pages : 1
#1 Le 17/12/2017, à 20:14
- jmg17
Configurer Fail2ban pour VNC [Résolu]
Bonjour,
Pour sécuriser un serveur sous Ubuntu, accessible depuis l’extérieur avec VNC, j’utilise, SSH et Fail2ban .
Avec mots de passe pour VNC et SSH
J’ai ouvert sur la livebox :
1 port pour SSH (22 par exemple) avec redirection sur l’adresse locale du serveur.
1 port pour VNC (5900 par exemple) avec redirection sur l’adresse locale du serveur.
Tout fonctionne bien.
Mais si j’ai bien compris, Fai2ban protège le port 22 de SSH, mais pas le 5900 de VNC
Donc une protection est-elle utile ? (sans doute oui!). Mais comment faire ?
Rajouter le numéro du port dans la config de fail2ban ?.
Par exemple :
[ssh]
port : ssh, 22, 5900
etc....
Ou autre ailleurs ? (ou mauvaise config)
Je n'ai pas trouvé (ou pas compris!) dans la doc de Fail2ban.
Merci pour vos réponses.
JMG
Dernière modification par jmg17 (Le 02/01/2018, à 10:54)
Dell XPS 13 Ubuntu 20.04 LTS. Lenovo Legion Ubuntu 20.04 LTS
Hors ligne
#2 Le 28/12/2017, à 13:44
- feeatmod
Re : Configurer Fail2ban pour VNC [Résolu]
Bonjour
Peux tu fournir quelques explications
ton serveur distant possède une interface graphique ?
et tu plonges ton vnc dans ssh ?
sinon je ne perçois pas trop l'intérêt
ssh à lui seul permet de faire du déport d'écran
à condition que la machine distante possède une interface graphique ..of course
feeatmod
"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits
Hors ligne
#3 Le 28/12/2017, à 13:58
- jmg17
Re : Configurer Fail2ban pour VNC [Résolu]
Bonjour,
1) Oui le serveur distant à une interface graphique
2) Oui VNC "plonges" dans ssh
3) Je ne sais pas comment faire du déport d'écran avec ssh, c'est pour ça que j'ai utilisé vnc.
4) Et dans ce cas je ne sais pas protéger le port ouvert pour vnc (si c'est utile?)
Merci pour ta réponse.
JMG
Dell XPS 13 Ubuntu 20.04 LTS. Lenovo Legion Ubuntu 20.04 LTS
Hors ligne
#4 Le 29/12/2017, à 18:55
- feeatmod
Re : Configurer Fail2ban pour VNC [Résolu]
Bonjour
utiliser vnc en réseau local ne pose pas trop de problème de sécurité par contre
l'utiliser pour bureau à distance en traversant d'autres réseaux ... mot de passe, mot risque de très passe 
Effectivement plongez vnc dans ssh est une excellente de sécuriser d'avantage
un "bureau à distance" vnc sur une machine distante située sur un autre réseau
MAIS SSH intègre la fonction de décallage d'affichage distant
voir la doc https://doc.ubuntu-fr.org/ssh
Paragraphe 2.3 et fin de page
pour ne pas mélanger les sujets on verra plus tard mais
Fail2ban peut également surveiller tout un tas d'autres services
il suffit parfois de décommenter le ficher de conf des "prisons" jail.conf
et de passer la ligne enable de false à true en rapport avec le service préconfiguré
ou alors créer ces propres régles pour un service dans ce fichier de conf
à ton sujet vnc est tunellisé dans ssh ... donc logiquement si fail2ban est bien paramétré, il protége des attaques bruteforce ssh et donc protège vnc qui est encapsulé dedans
feeatmod
Dernière modification par feeatmod (Le 29/12/2017, à 19:30)
"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits
Hors ligne
#5 Le 29/12/2017, à 20:16
- jmg17
Re : Configurer Fail2ban pour VNC [Résolu]
Bonjour,
vnc est tunellisé dans ssh ... donc logiquement si fail2ban est bien paramétré, il protége des attaques bruteforce ssh et donc protège vnc qui est encapsulé dedans J'ai testé fail2ban et après 5 mots de passe erronés, il bloque le port ssh pour 24 heures, donc c'est bon de ce côté.
Mais je ne comprends pas pourquoi 2 ports différents doivent être ouverts sur la box, pour vnc et pour ssh, puisque que vnc est encapsulé dans ssh? . J'ai essayé avec 1 seul (pour ssh) mais ça ne marche pas.!
Donc (mais pas sûr d'avoir compris) fai2ban protège le port ssh et le port ouvert pour vnc n'a pas besoin de protection?
Effectivement, fail2ban autorise de nombreux paramétrages, mais c'est un peu compliqué.
Si tu penses que c'est correct comme ça, j'en reste là.
Merci encore.
JMG
Dell XPS 13 Ubuntu 20.04 LTS. Lenovo Legion Ubuntu 20.04 LTS
Hors ligne
#6 Le 29/12/2017, à 22:21
- feeatmod
Re : Configurer Fail2ban pour VNC [Résolu]
re bonjour
n'ayant rien testé
je ne pense pas que ce soit correct comme cela , je reflechis juste à voix euh prose haute
tu effectues une ouverture nat sur la box sur le port par defaut de vnc également pour que ça marche ...
le PORT 5900 est donc ouvert sur la machine distante et ecoute sur ce port ...
Là il faut que je consulte plus en détail fail2ban pour vérifier ce qu'il est nécessaire ou pas de faire
autre chose tu as laissé le port 22 qui est le port par defaut de ssh
change le ... les boats viennent sniffer sur les ports par défaut ...
bon encore autre chose
quelle réticence te conduit à ne pas essayer le déport d'affichage sous ssh
tu te connectes depuis une machine windows avec Putty ?
si Putty
je reflechis ...toujours à voix haute vers une solution la plus en securité
de memoire teamviewer sous linux peut se lancer occasionnellement sans installation en utilisant les packages .tar
mais peut on reccupérer l'id en ligne de commande ?
l'idée serait de reccupérer l'id en ligne de commande via putty en ssh puis d'accrocher la machine
pas d'installation de teamviewer = pas de port ouvert en permanence sur la machine mais juste le temps de l'utilisation
et pas de routage nat permanent sur la box autre que le ssh
feeatmod
Dernière modification par feeatmod (Le 29/12/2017, à 22:21)
"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits
Hors ligne
#7 Le 29/12/2017, à 22:48
- feeatmod
Re : Configurer Fail2ban pour VNC [Résolu]
JE M'EPARPILLE ET JE T'EGARRE
PARCE QUE JE NE T'AI PAS POSE ASSEZ DE QUESTIONS NOTAMMENT SUR TA/TES METHODES DE CONFIGURATION
On reprend tout sur
vnc et ssh sur la machine distante
tu ultlises vinagre sur la machine distante ?
feeatmod
Dernière modification par feeatmod (Le 29/12/2017, à 22:48)
"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits
Hors ligne
#8 Le 30/12/2017, à 12:48
- jmg17
Re : Configurer Fail2ban pour VNC [Résolu]
Bonjour,
Sur serveur:
Ubuntu
Partage bureau avec mot de passe
SSH serveur sur port 5777 (j'ai modifié le 22) et mot de passe
Fail2ban qui surveille le port 5777
Sur client:
Ubuntu
Remmina avec ssh activé. Connexion : [IP de la box du serveur] : port 5900(pour vnc). Port ssh: 5777
Sur la box du serveur:
2 ports ouverts:
5777 avec redirection sur le serveur
5900 avec redirection sur le serveur.
Fail2ban bloque bien le 5777 (ssh) après plusieurs tentatives infructueuses;
Mais tout cela est inutile car il est possible de se connecter directement de l’extérieur avec remmina et ssh désactivé, avec comme seul obstacle le mot de passe sur le port vnc non protégé par fail2ban!
Donc :
Soit protéger le port 5900(vnc) avec Fail2ban(je ne comprends pas bien comment faire)
Soit utiliser un seul port pour remmina + ssh(là encore je cale)
Soit ssh avec décalage d'affichage.
jmg
Dell XPS 13 Ubuntu 20.04 LTS. Lenovo Legion Ubuntu 20.04 LTS
Hors ligne
#9 Le 02/01/2018, à 10:51
- jmg17
Re : Configurer Fail2ban pour VNC [Résolu]
Bonjour,
Trouvé la solution, tout est expliqué là:
https://doc.fedora-fr.org/wiki/Connexio … e_avec_SSH
jmg
Dell XPS 13 Ubuntu 20.04 LTS. Lenovo Legion Ubuntu 20.04 LTS
Hors ligne
Pages : 1