Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Le SFTP, la notification et le log

Arkaine

Bonjour à tous,

Je reviens vers la communauté pour demander votre aide.

Je possède un serveur SFTP avec OpenSSH ou mes utilisateurs sont chrooter dans un dossier. Jusque là tout fonctionne:

- Le lien avec l'AD pour la connexion SFTP avec le groupe prévue à cette effet.
- Les droits sur les dossiers du SFTP.

Ce que je souhaiterai ce serai de mettre en place un serveur syslog-ng et centraliser les log du sftp. Avec une alerte mail lors de mauvaise connexion et de ban IP.

J'ai trouvé pas mal de tuto sur le sujet mais aucun ne semble vouloir fonctionner.

Le couple gagnant semble être OpenSSH (SFTP) + Syslog-NG + Fail2ban.

Infra SFTP

Si une solution allinone existe je n'en ai pas trouver. Et vu que MySecureShell n'est plus mis à jour je ne sait pas vers quel solution me tourner.

Merci à vous de votre aide.

David

Vobul

Salut,

Arkaine a écrit Le couple gagnant semble être OpenSSH (SFTP) + Syslog-NG + Fail2ban.

Oui ça me semble bien également. Où se situe le problème ? Tu sais parfois il faut savoir oublier un peu les tutos qui datent et lire la doc officiel, c'est mieux.

Ton post ne décrit pas de problème précis, difficile de t'aider…

Arkaine

Bonjour,

Merci à toi pour ta réponse. Effectivement je n'ai pas été précis dans mon problème.

Je souhaiterai avoir des log de transfert de fichier sftp. Malheureusement même en lisant la doc et en modifiant mon fichier sshd_config je n'arrive toujours pas à avoir des logs de transfert. Et depuis l'installation de syslog-ng mon auth.log ne me remonte plus d'info.

Quand à l'envoie de mail avec fail2ban je n'arrive pas à le rattacher à mon relais smtp.

Je peux poster mes fichier de conf pour être plus précis si besoin 😉

Merci à tous.

Vobul

Dans sshd_config t'as rajouté "-l INFO" à la fin de la ligne Subsystem sftp ? (SO).

Arkaine

Oui.

HPIR40

Bonjour

Pour les mails est ce que ton serveur communique bien avec le relais smtp?

Si oui pour que fail2ban envoi les notification il suffit de modifier ces lignes dans le jail.conf

# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = admin@domaine.com

#
# Name of the sender for mta actions
sendername = Fail2Ban_localserver

# Email address of the sender
sender = fail2ban_local@localhost

et surtout ne pas oublier de modifier la variable action = %(action_)s en

action = %(action_mwl)s

et dans
/etc/email-addresses

ajouter:

root: ton_adresse_email

maintenant sur mon serveur j'ai configuré exim4 pour qu'il envoi les mails à mon serveur relay SMTP sous postfix et aucun soucis pour faire remonter les infos de ban via email.

Arkaine

Bonjour,

Merci à toi @HPIR40 effectivement, j'avais oublié

action = %(action_mwl)s

Maintenant je suis toujours dans les logs pour SFTP

~~J'ai suivi les informations suivantes:~~

~~https://blog.hbis.fr/2010/05/02/openssh-log_sftp/~~
~~https://en.wikibooks.org/wiki/OpenSSH/Logging_and_Troubleshooting#Logging_SFTP_File_Transfers~~
~~http://www.linuxquestions.org/questions/red-hat-31/chroot-jail-sftp-logging-on-rhel-centos6-logs-not-occuring-926801/~~

~~Mais à ce jour cela ne fonctionne pas.~~

Si une personne à réussi à faire fonctionner les logs complet pour SFTP je suis preneur.

Je suis sur un serveur Ubuntu 16.04.

Merci à tous.

EDIT: J'ai trouvé la solution pour les logs SFTP

Syslog-ng est installer. ===> Configuration standard aucune modification.

sshd_config

# Logging
SyslogFacility AUTH
LogLevel INFO
...
Subsystem       sftp    internal-sftp -l INFO -f AUTH
...
ChrootDirectory /SFTP
        ForceCommand internal-sftp -l INFO -f AUTH
        AllowTcpForwarding no
        X11Forwarding no

#cd /SFTP
#mkdir dev
#touch dev/log

#chmod 511 dev
#chattr +i dev
# mount --bind /dev/log dev/log

J'ai bien les log dans /var/auth.log avec tous les détails de connexions, transfert de fichiers etc...

Je vous tiens au courant pour la suite.