Impossible d'accéder directement à mon serveur depuis chez moi ... Que ce soit en ssh ou https, ça me renvoi un timeout. Fail2ban est en cause ici !

En passant par le serveur secondaire (ça aurait aussi fonctionné avec le partage de connexion de mon tél.), j'ai pu ouvrir une connexion ssh sur le principal.

• 1 - recherche des IP bannies :
  root@principal.glacan.fr /var/log # cat fail2ban.log|grep NOTICE
  2019-06-02 12:51:31,684 fail2ban.actions [1902]: NOTICE [nextcloud] Ban 91.164.189.44
  2019-06-02 13:01:32,684 fail2ban.actions [1902]: NOTICE [nextcloud] Unban 91.164.189.44
  2019-06-02 13:52:25,734 fail2ban.actions [1902]: NOTICE [nextcloud] Ban 91.164.189.44
  2019-06-02 14:02:25,775 fail2ban.actions [1902]: NOTICE [nextcloud] Unban 91.164.189.44
  2019-06-02 14:52:44,686 fail2ban.actions [1902]: NOTICE [nextcloud] Ban 91.164.189.44
  2019-06-02 15:02:44,728 fail2ban.actions [1902]: NOTICE [nextcloud] Unban 91.164.189.44
  2019-06-02 16:52:44,286 fail2ban.actions [1902]: NOTICE [nextcloud] Ban 91.164.189.44
  2019-06-02 17:02:44,335 fail2ban.actions [1902]: NOTICE [nextcloud] Unban 91.164.189.44
  2019-06-02 18:51:32,602 fail2ban.actions [1902]: NOTICE [nextcloud] Ban 91.164.189.44
  2019-06-02 18:51:33,567 fail2ban.actions [1902]: NOTICE [recidive] Ban 91.164.189.44
  2019-06-02 19:01:32,659 fail2ban.actions [1902]: NOTICE [nextcloud] Unban 91.164.189.44
  2019-06-02 19:40:42,814 fail2ban.actions [1585]: NOTICE [recidive] Ban 91.164.189.44
  2019-06-06 11:09:51,142 fail2ban.actions [1610]: NOTICE [recidive] Ban 91.164.189.44

• 2 - Quelle est mon IP externe ?
  Sur le site https://mon-ip.io/, je trouve : 91.164.189.44
  Comme par hasard :-(

• 3 - Lecture des règles iptables en vigueur sur le serveur :
  root@principal.glacan.fr /var/log # iptables -L --line-numbers
  [...]
  Chain f2b-recidive (1 references)
  num target prot opt source destination
  1 REJECT all -- 91-164-189-44.subs.proxad.net anywhere reject-with icmp-port-unreachable
  2 RETURN all -- anywhere anywhere
  [...]

• 4 - Réhabilitation de mon IP :
  root@principal.glacan.fr /var/log # iptables -D f2b-recidive 1
  Ici, "1" est le numéro de la ligne retournée par la commande précédente ;-)

Et voilà le travail :-)

Pour synchroniser une horloge système, on utilise habituellement le protocole NTP. Celui-ci permet de communiquer avec des serveurs de temps sur le port 123. Cela fonctionne très bien, et c'est tout ce dont on devrait avoir besoin. Néanmoins, si le port 123 est bloqué par un pare-feu et qu'aucun serveur de temps n'est présent sur le réseau, l'opération se complique.

Étapes pour détecter une compromission sur son serveur.

Voir aussi : https://blog.genma.fr/?Devenir-SysAdmin-d-une-PME-Mineur-de-bitcoin-Billet-no2

Firefox & Chrome peuvent enregistrer les premaster-keys des sessions TLS directement dans un fichier.
Pratique pour déchiffrer à la volée du trafic TLS vers un serveur.

C'est pas rassurant niveau sécurité, parce qu'il faut simplement mettre une variable utilisateur dans l'environnement (utilisateur, même pas système !!)

Il est aussi possible, si on a la main sur le serveur, de demander au démon SSL d'exporter ces secrets, mais côté client ça devient plus difficile : il faudra un canal SSH pour lire les secrets dans Wireshark.

Voir aussi : http://feedproxy.google.com/~r/dsfc/~3/gV16DmMlxJg/

Voir aussi : https://blog.genma.fr/?Yunohost-comme-serveur-de-mails-Billet-No1