Contenu | Rechercher | Menus

Annonce

L'équipe des administrateurs et modérateurs du forum vous invite à prendre connaissance des nouvelles règles.
En cas de besoin, vous pouvez intervenir dans cette discussion.

Ubuntu 18.04 LTS
Ubuntu-fr propose des clés USB de Ubuntu et toutes ses « saveurs » ainsi qu'un magnifique t-shirt pour cette toute nouvelle version d'Ubuntu !

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 17/12/2017, à 21:14

jmg17

Configurer Fail2ban pour VNC [Résolu]

Bonjour,

Pour sécuriser un serveur sous Ubuntu, accessible depuis l’extérieur avec VNC, j’utilise, SSH  et Fail2ban .
Avec mots de passe pour VNC et SSH
J’ai ouvert sur la livebox :
1 port pour SSH (22 par exemple) avec redirection sur l’adresse locale du serveur.
1 port pour VNC (5900 par exemple) avec redirection sur l’adresse locale du serveur.
Tout fonctionne bien.
Mais si j’ai bien compris, Fai2ban protège le port 22 de SSH, mais pas le 5900 de VNC
Donc une protection est-elle utile ? (sans doute oui!). Mais comment faire ?
Rajouter le numéro du port dans la config de fail2ban ?.
Par exemple :

[ssh]
port : ssh, 22, 5900
etc....

Ou autre ailleurs ? (ou mauvaise config)
Je n'ai pas trouvé (ou pas compris!) dans la doc de Fail2ban.
Merci pour vos réponses.

JMG

Dernière modification par jmg17 (Le 02/01/2018, à 11:54)


Dell XPS 13 Ubuntu 16.04 LTS. Dell Vostro13 Ubuntu 16.04LTS

Hors ligne

#2 Le 28/12/2017, à 14:44

feeatmod

Re : Configurer Fail2ban pour VNC [Résolu]

Bonjour
Peux tu fournir quelques explications
ton serveur distant possède une interface graphique ?
et tu plonges ton vnc dans ssh ?

sinon je ne perçois pas  trop l'intérêt 

ssh  à lui seul permet de faire du déport d'écran
à condition que la machine distante possède une interface graphique ..of course

feeatmod


"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april  http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits

Hors ligne

#3 Le 28/12/2017, à 14:58

jmg17

Re : Configurer Fail2ban pour VNC [Résolu]

Bonjour,
1) Oui le serveur distant à une interface graphique
2) Oui VNC "plonges" dans ssh
3) Je ne sais pas comment faire du déport d'écran avec ssh, c'est pour ça que j'ai utilisé vnc.
4) Et dans ce cas je ne sais pas protéger le port ouvert pour vnc (si c'est utile?)
Merci pour ta réponse.
JMG


Dell XPS 13 Ubuntu 16.04 LTS. Dell Vostro13 Ubuntu 16.04LTS

Hors ligne

#4 Le 29/12/2017, à 19:55

feeatmod

Re : Configurer Fail2ban pour VNC [Résolu]

Bonjour
utiliser vnc en réseau local ne pose pas trop de problème de sécurité par contre
l'utiliser pour bureau à distance en traversant  d'autres réseaux ... mot de passe, mot risque de très passe yikes big_smile tongue
Effectivement plongez vnc dans ssh est une excellente de sécuriser d'avantage
un "bureau à distance" vnc sur une machine distante située sur un autre réseau

MAIS SSH intègre la fonction de décallage d'affichage distant
voir la doc https://doc.ubuntu-fr.org/ssh
Paragraphe 2.3 et fin de page

pour ne pas mélanger les sujets  on verra plus tard mais
Fail2ban peut également surveiller tout un tas  d'autres services
il  suffit parfois de décommenter le ficher de conf des "prisons" jail.conf
et de passer la ligne enable de false à true en rapport avec le service préconfiguré
ou alors créer ces propres régles pour un service dans ce fichier de conf

à ton sujet  vnc est tunellisé dans ssh ... donc logiquement si fail2ban est bien paramétré, il   protége des attaques bruteforce ssh et donc protège vnc   qui est encapsulé  dedans
feeatmod

Dernière modification par feeatmod (Le 29/12/2017, à 20:30)


"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april  http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits

Hors ligne

#5 Le 29/12/2017, à 21:16

jmg17

Re : Configurer Fail2ban pour VNC [Résolu]

Bonjour,

 vnc est tunellisé dans ssh ... donc logiquement si fail2ban est bien paramétré, il   protége des attaques bruteforce ssh et donc protège vnc   qui est encapsulé  dedans 

J'ai testé fail2ban et après 5 mots de passe erronés, il bloque le port ssh pour 24 heures, donc c'est bon de ce côté.
Mais je ne comprends pas pourquoi 2 ports différents doivent être ouverts sur la box, pour vnc et pour ssh, puisque que vnc est encapsulé dans ssh? . J'ai essayé avec 1 seul (pour ssh) mais ça ne marche pas.!
Donc (mais pas sûr d'avoir compris) fai2ban protège le port ssh et le port ouvert pour vnc n'a pas besoin de protection?
Effectivement, fail2ban autorise de nombreux paramétrages, mais c'est un peu compliqué.
Si tu penses que c'est correct comme ça, j'en reste là.

Merci encore.

JMG


Dell XPS 13 Ubuntu 16.04 LTS. Dell Vostro13 Ubuntu 16.04LTS

Hors ligne

#6 Le 29/12/2017, à 23:21

feeatmod

Re : Configurer Fail2ban pour VNC [Résolu]

re bonjour
n'ayant rien testé
je ne pense pas que ce soit correct comme cela , je reflechis juste à voix euh prose haute  tongue tongue tongue

tu effectues une ouverture nat sur la box sur le port  par defaut de vnc également  pour que ça marche ...
le PORT 5900 est donc ouvert sur la machine distante et ecoute sur ce port ...
Là il faut que je consulte plus en détail fail2ban  pour vérifier ce qu'il est nécessaire ou pas de faire

autre chose tu as laissé le port 22 qui est le port par defaut de ssh
change le ...  les boats viennent sniffer sur les ports par défaut ...

bon  encore autre chose
quelle réticence te conduit à ne pas essayer le déport d'affichage sous ssh
tu te connectes depuis une machine windows avec Putty ?

si Putty
je reflechis ...toujours à voix haute vers une solution la plus en securité
de memoire teamviewer sous linux peut se lancer occasionnellement sans installation en utilisant les packages .tar
mais peut on reccupérer l'id en ligne de commande ?

l'idée serait de reccupérer l'id en ligne de commande via putty en ssh puis d'accrocher la machine
pas d'installation de teamviewer = pas de port ouvert en permanence sur la machine  mais juste le temps de l'utilisation
et pas de routage nat permanent sur la box autre que le ssh
feeatmod

Dernière modification par feeatmod (Le 29/12/2017, à 23:21)


"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april  http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits

Hors ligne

#7 Le 29/12/2017, à 23:48

feeatmod

Re : Configurer Fail2ban pour VNC [Résolu]

JE M'EPARPILLE ET JE T'EGARRE
PARCE QUE JE NE T'AI PAS POSE ASSEZ DE QUESTIONS NOTAMMENT  SUR  TA/TES METHODES DE CONFIGURATION

On reprend tout sur
vnc et ssh sur la machine distante

tu ultlises vinagre sur la machine distante ?
feeatmod

Dernière modification par feeatmod (Le 29/12/2017, à 23:48)


"Mourir c'est juste connaitre une dernière fin de MOI difficile" dp ch'ti grain de folie
Membre de l'april  http://www.april.org/
Dell precision 490-deux quad xeons- nvidia quadro 4000 - Raid 5 matériel- UBUNTU studio 64 bits

Hors ligne

#8 Le 30/12/2017, à 13:48

jmg17

Re : Configurer Fail2ban pour VNC [Résolu]

Bonjour,

Sur serveur:
Ubuntu
Partage bureau avec mot de passe
SSH serveur sur port 5777 (j'ai modifié le 22) et mot de passe
Fail2ban qui surveille le port 5777

Sur client:
Ubuntu
Remmina avec ssh activé. Connexion : [IP de la box du serveur] : port 5900(pour vnc). Port ssh: 5777

Sur la box du serveur:
2 ports ouverts:
5777 avec redirection sur le serveur
5900 avec redirection sur le serveur.

Fail2ban bloque bien le 5777 (ssh) après plusieurs tentatives infructueuses;

Mais tout cela est inutile car il est possible de se connecter directement de l’extérieur avec remmina et ssh désactivé, avec comme seul obstacle le mot de passe sur le port vnc non protégé par fail2ban!

Donc :
Soit protéger le port 5900(vnc) avec Fail2ban(je ne comprends pas bien comment faire)
Soit utiliser un seul port pour remmina + ssh(là encore je cale)
Soit ssh avec décalage d'affichage.

jmg


Dell XPS 13 Ubuntu 16.04 LTS. Dell Vostro13 Ubuntu 16.04LTS

Hors ligne

#9 Le 02/01/2018, à 11:51

jmg17

Re : Configurer Fail2ban pour VNC [Résolu]

Bonjour,

Trouvé la solution, tout est expliqué là:

https://doc.fedora-fr.org/wiki/Connexio … e_avec_SSH

jmg


Dell XPS 13 Ubuntu 16.04 LTS. Dell Vostro13 Ubuntu 16.04LTS

Hors ligne