Ubuntu-fr

PmGs

[Résolu] Aide pour analyse logs ssh / systemd

Bonjour à tous,
Sur mon réseau local, j’ai un accès root de PC5 (lxc en Debian 9 sur Ubuntu 18) refusé par PC3 (Ubuntu 20) , ce qui est normal* mais je n’arrive pas à trouvé ce qui génère ce « pb ».
*Mon accès root est désactivé dans PC3 (et mes autres machines) et je n'arrive pas à savoir quel script est à l'origine de cet accès sur PC5 (rien vu dans le crontab, ni dans les timer systemd)

J’ai extrait ci-dessous les logs sur les 2 machines.

PC3

Sep 20 20:00:27 PC3 sshd[491334]: ROOT LOGIN REFUSED FROM 192.168.0.225 port 45464
Sep 20 20:00:27 PC3 sshd[491334]: ROOT LOGIN REFUSED FROM 192.168.0.225 port 45464 [preauth]

A noter que le pid et le port ne sont (bien sûr) pas constants.
PC5 (192.168.0.225)

sept. 20 20:00:26 PC5 systemd[1]: Received SIGCHLD from PID 1351 (ssh).
sept. 20 20:00:26 PC5 systemd[1]: Child 1351 (ssh) died (code=exited, status=255/n/a)

Sachant que je suis déjà en log maximal, comment obtenir plus d’informations? En particulier concernant le log PC5.
Merci d’avance.

Dernière modification par PmGs (Le 24/09/2020, à 08:08)

rogn...

Re : [Résolu] Aide pour analyse logs ssh / systemd

Hello,
Que donnent sur le PC3

grep PermitRootLogin /etc/ssh/sshd_config

et

systemctl status sshd

PmGs

Re : [Résolu] Aide pour analyse logs ssh / systemd

grep PermitRootLogin /etc/ssh/sshd_config

PermitRootLogin no
#PermitRootLogin without-password

systemctl status sshd

● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
     Active: active (running) since Fri 2020-09-18 20:35:21 CEST; 2 days ago
       Docs: man:sshd(8)
             man:sshd_config(5)
    Process: 15845 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
   Main PID: 15857 (sshd)
      Tasks: 1 (limit: 8806)
     Memory: 3.5M
     CGroup: /system.slice/ssh.service
             └─15857 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups

sep 21 06:00:26 philippe3 sshd[661901]: debug1: userauth-request for user root service ssh-connection method password [preauth]
sep 21 06:00:26 philippe3 sshd[661901]: debug1: attempt 6 failures 4 [preauth]
sep 21 06:00:26 philippe3 sshd[661901]: Failed password for root from 192.168.0.225 port 60734 ssh2
sep 21 06:00:26 philippe3 sshd[661901]: Connection closed by authenticating user root 192.168.0.225 port 60734 [preauth]
sep 21 06:00:26 philippe3 sshd[661901]: debug1: do_cleanup [preauth]
sep 21 06:00:26 philippe3 sshd[661901]: debug1: monitor_read_log: child log fd closed
sep 21 06:00:26 philippe3 sshd[661901]: debug1: do_cleanup
sep 21 06:00:26 philippe3 sshd[661901]: debug1: Killing privsep child 661903
sep 21 06:00:26 philippe3 sshd[661901]: debug1: audit_event: unhandled event 12
sep 21 06:00:26 philippe3 sshd[15857]: debug1: main_sigchld_handler: Child exited

rogn...

Re : [Résolu] Aide pour analyse logs ssh / systemd

Voilà, ton PC3 qui devrait accepter les connexions refuse les connexions root à cause de ton paramètre PermitRootLogin no dans /etc/ssh/sshd_config.
Il faut désactiver cette option en y mettant un # devant ou en mettant yes, puis un coup de

systemctl restart sshd

Ceci dit, si cette mesure est appliquée, elle va de pair avec une authentification uniquement par clés et pas par MDP.

Dernière modification par rogn... (Le 21/09/2020, à 12:22)

PmGs

Re : [Résolu] Aide pour analyse logs ssh / systemd

Ma question n'était pas claire, je viens d'ajouter un * derrière le normal de ma question, mon accès root n'est pas autorisé, ce qui est normal et je ne souhaite pas l'autoriser. Ma question est qui (quel script) génère cet accès à partir de mon PC5, je ne vois que systemd dans les logs et je ne vois rien dans mon crontab ni dans un timer systemd.

Dernière modification par PmGs (Le 21/09/2020, à 15:20)

rogn...

Re : [Résolu] Aide pour analyse logs ssh / systemd

Ah d'accord.
Dans ce cas là, est-ce que ton serveur est exposé au Web en dehors de ton réseau local ?

PmGs

Re : [Résolu] Aide pour analyse logs ssh / systemd

Non, PC3 est un portable et l'ensemble est derrière une Box, PC5 est un serveur Web http avec uniquement ouverts les ports 22 et 80 (le port 443 https est sur un autre lxc)

rogn...

Re : [Résolu] Aide pour analyse logs ssh / systemd

Hm... bizarre. Si tu n'as pas de PC exposé, tente alors

ss -lapute

sur le PC client.

Dernière modification par rogn... (Le 21/09/2020, à 16:05)

PmGs

Re : [Résolu] Aide pour analyse logs ssh / systemd

Je ne connaissais pas :-)

Je ne vois que 2 ssh qui sont mes 2 terminaux ouverts sur PC3 vers PC5, c'est normal. Ceci dit le 'pb' n'apparaît qu'aux heures pleines (01:00:~25) entre 1 et 6h,sauf* si je redémarre PC5, auquel cas le pb apparaît tj aux heures pleines mais dés le démarrage!
*pas toujours vrai

Si pas d'autre idée je vais probablement devoir jouer avec tcpdump.

Dernière modification par PmGs (Le 23/09/2020, à 15:34)

PmGs

Re : [Résolu] Aide pour analyse logs ssh / systemd

Bonjour à tous,
tcpdump donne le pid port origine d’une transmission.
Peut-on retrouver le nom du process origine lorsque ce process (pid/port) n’existe plus?
Un lecteur connaît-il une commande directe ou une capacité de déclenché un script sur un filtre tcpdump ou équivament?

Dernière modification par PmGs (Le 23/09/2020, à 11:28)

bruno

Re : [Résolu] Aide pour analyse logs ssh / systemd

Bonjour,

tcpdump donne le pid origine d’une transmission.

Ah bon ?
Peux-tu montrer la commande tcpdump utilisée et son retour ?

PmGs

Re : [Résolu] Aide pour analyse logs ssh / systemd

Bien vu et merci, je corrige ma question.
tcpdump donne le pid port origine d’une transmission.

Pour info, je cherche le script à l'origine de cette trame (port 46764) :
02:00:29.549774 IP 192.168.0.225.46764 > 192.168.0.246.22: Flags [ S], seq 570324675, win 29200, options [mss 1460,sackOK,TS val 637752957 ecr 0,nop,wscale 7], length 0

Dernière modification par PmGs (Le 23/09/2020, à 11:30)

bruno

Re : [Résolu] Aide pour analyse logs ssh / systemd

Pourquoi parles-tu de script ?
La ligne que tu donnes indique une connexion de SSH de la machine cliente 192.168.0.225 vers le serveur 192.168.0.246.
Vu qu'il s'agit d'une machine sur ton réseau local, en principe tu dois savoir ce qui est installé dessus et qui l'utilise. La connexion SSH peut-être lancée par un utilisateur, un logiciel ou script de maintenance ou de sauvegarde, etc.

Pour info lorsqu'un client se connecte à un serveur, un port non privilégié (>1024) est choisi au hasard sur le client.

PmGs

Re : [Résolu] Aide pour analyse logs ssh / systemd

En phase Bruno, mais 'en principe tu dois savoir' n'exclut pas que je ne sache pas et je n'ai pas la possibilité de tout arrêté (progressivement) pour savoir ce qui déclenche cette connexion SSH (sous ROOT refusé par le serveur sur la machine cible). Je ne vois rien dans mes logs par ailleurs.
Ma question reste donc sans réponse pour l'instant.

Dernière modification par PmGs (Le 23/09/2020, à 14:16)

bruno

Re : [Résolu] Aide pour analyse logs ssh / systemd

Je vais formuler autrement.
Je n'ai pas de boule de cristal pour voir ce qu'il y a installé sur la machine ayant l'IP locale 192.168.0.255, qui l'utilise et et y fait quoi. Le port utilisé par le client ne donne aucune information.
C'est à toi d'examiner cette machine ses logs et ceux du serveur pour voir ce qui s'est passé à l’heure où tu as capturé ces trames.

Par ailleurs tu as déjà posé la question sous une autre forme ici. Je pense donc que je vais fusionner les deux sujets.

Modération : les deux sujets on été fusionnés

Dernière modification par bruno (Le 23/09/2020, à 14:54)

bruno

Re : [Résolu] Aide pour analyse logs ssh / systemd

en #8 et 9

Il faut donner le retour complet de la commande exécutée sur la machine 192.168.0.225 :

sudo ss -tlnp

en #9 :

Ceci dit le 'pb' n'apparaît qu'aux heures pleines (01:00:~25) entre 1 et 6h,sauf si je redémarre PC5, auquel cas le pb apparaît tj aux heures pleines mais dés le démarrage!

Cela suggère fortement l'exécution d'une tâche cron. Il faut examiner toutes les tâches cron sur le système ainsi que les timers systemd. En commençant par (toujours sur 192.168.0.225 ) :

systemctl list-timers --all

PmGs

Re : [Résolu] Aide pour analyse logs ssh / systemd

Merci Bruno pour essayer de m'aider, personnellement je pense que les 2 questions, qui traitent effectivement du même sujet, étaient plus claires séparées.  Du coup ma question tcdump est noyée dans le pb global :-(

ss -tlnpb (Le port utilisé par le client donne ces informations qui ne sont qu'une photo instantanée et pas ce qui s'est passé à 2h)

State      Recv-Q Send-Q                      Local Address:Port                                     Peer Address:Port              
LISTEN     0      80                              127.0.0.1:3306                                                *:*                   users:(("mysqld",pid=237,fd=19))
LISTEN     0      128                                     *:22                                                  *:*                   users:(("sshd",pid=164,fd=3))
LISTEN     0      128                         192.168.0.225:5432                                                *:*                   users:(("postgres",pid=333,fd=7))
LISTEN     0      128                             127.0.0.1:5432                                                *:*                   users:(("postgres",pid=333,fd=6))
LISTEN     0      20                              127.0.0.1:25                                                  *:*                   users:(("exim4",pid=790,fd=3))
LISTEN     0      128                                    :::80                                                 :::*                   users:(("apache2",pid=8748,fd=4),("apache2",pid=8746,fd=4),("apache2",pid=8738,fd=4),("apache2",pid=4708,fd=4),("apache2",pid=4705,fd=4),("apache2",pid=3419,fd=4),("apache2",pid=3418,fd=4),("apache2",pid=3417,fd=4),("apache2",pid=3415,fd=4),("apache2",pid=1351,fd=4),("apache2",pid=366,fd=4))
LISTEN     0      128                                    :::22                                                 :::*                   users:(("sshd",pid=164,fd=4))
LISTEN     0      128                                   ::1:5432                                               :::*                   users:(("postgres",pid=333,fd=3))
LISTEN     0      20                                    ::1:25                                                 :::*                   users:(("exim4",pid=790,fd=4))
LISTEN     0      128                                    :::5309                                               :::*                   users:(("cf-serverd",pid=123,fd=5))

Par ailleurs, je corrige mes propos, j'ai redémarré PC5 hier et le 'pb' n'est pas réapparu dans la foulée mais à 2h!

Mon crontab (sous root) est vide.

systemctl list-timers --all (rien de special ici)

NEXT                          LEFT       LAST                          PASSED    UNIT                         ACTIVATES
Wed 2020-09-23 16:39:00 CEST  17min left Wed 2020-09-23 16:09:01 CEST  12min ago phpsessionclean.timer        phpsessionclean.service
Thu 2020-09-24 02:31:30 CEST  10h left   Wed 2020-09-23 06:56:50 CEST  9h ago    apt-daily.timer              apt-daily.service
Thu 2020-09-24 06:38:26 CEST  14h left   Wed 2020-09-23 06:56:22 CEST  9h ago    apt-daily-upgrade.timer      apt-daily-upgrade.service
Thu 2020-09-24 08:35:51 CEST  16h left   Wed 2020-09-23 08:35:51 CEST  7h ago    systemd-tmpfiles-clean.timer systemd-tmpfiles-clean.service

Dernière modification par PmGs (Le 23/09/2020, à 16:18)

bruno

Re : [Résolu] Aide pour analyse logs ssh / systemd

La machine en question héberge donc trois services en écoute sur toutes les adresses :
- un serveur SSH su le port 22 ;
- un serveur Apache sur le port 80 ;
- un « truc » sur le port 5309, cf-serverd. Qu'est-ce que c'est ?

La fait que tu aies un exim4 en écoute sur l'adresse locale me laisse penser que tu n’utilises pas Ubuntu… Est-ce le cas ?

La liste des timers ne contient a priori rien d'anormal.ll va falloir examiner les fichiers :
- /etc/crontab
- tout ce qui est sous /etc/cron.d/
- tout ce qui est sous /etc/cron.hourly/ (idem daily, weekly, monthly)
- tout ce qui est sous /var/spool/cron/crontabs

PmGs

Re : [Résolu] Aide pour analyse logs ssh / systemd

un « truc » sur le port 5309, cf-serverd. Qu'est-ce que c'est ?

Agent rudder, PC3 est un autre agent rudder, le serveur est une autre machine sur un réseau distant.

La fait que tu aies un exim4 en écoute sur l'adresse locale me laisse penser que tu n’utilises pas Ubuntu… Est-ce le cas ?

C'est écrit dans mon post initilal, PC5 est un container lxc sous debian 9 qui tourne sur un serveur Ubuntu 18.

ll va falloir examiner les fichiers :
- /etc/crontab
- tout ce qui est sous /etc/cron.d/
- tout ce qui est sous /etc/cron.hourly/ (idem daily, weekly, monthly)
- tout ce qui est sous /var/spool/cron/crontabs

Ensemble des fichiers crontab vérifiés : rien d'anormal

Dernière modification par PmGs (Le 23/09/2020, à 22:40)

PmGs

Re : [Résolu] Aide pour analyse logs ssh / systemd

Ok trouvé, voir forum https://www.debian-fr.org , qui n'a pas supprimé la bonne question :-)

bruno

Re : [Résolu] Aide pour analyse logs ssh / systemd

https://www.debian-fr.org/t/aide-pour-a … md/82886/4
La connexion était due à une instance de BackupPC

Personne n'a supprimé de question. J'ai fusionné tes deux fils de discussion car ils traitaient du même problème.
Quant à la solution je l'avais déjà évoquée en #13 :

La connexion SSH peut-être lancée par un utilisateur, un logiciel ou script de maintenance ou de sauvegarde, etc.