Le démon d'échec de connexion (LFD) fait partie de l'application ConfigServer Security &Firewall (CSF) disponible pour les serveurs Linux. C'est le pare-feu qui est préinstallé sur n'importe quel serveur Managed KnownHost et c'est un produit que nous connaissons très bien. Cette partie particulière de l'application gère le suivi et la journalisation de ce qui se passe sur le serveur et de ce dont CSF doit être informé, si une action est nécessaire.
Informations de suivi telles que :
- Processus exécutant plus de X secondes
- Processus utilisant trop de mémoire
- Processus d'un utilisateur spécifique supérieur à X autorisés
- Tentatives de connexion non valides avec SSH, FTP, IMAP, SMTP, etc.
- Diverses autres configurations de blocage provenant d'intégrations telles que mod_security
Dans cet article, nous vous guiderons à travers les différents paramètres LFD dans WHM.
Accéder au plugin LFD
La première chose à faire est de vous connecter à votre interface WHM avec votre nom d'utilisateur et votre mot de passe root associés. Deuxièmement, recherchez la section "Plugins" en surbrillance.
Dans la section "Plugins", vous verrez alors "ConfigServer Security &Firewall"
Dans cette section, vous pouvez cliquer sur l'onglet "lfd" en haut qui vous montrera uniquement les options et les configurations liées au démon d'échec de connexion.
- Statut lfd
- lfd Redémarrer
- lfd Ignorer le fichier
- Observation des fichiers du répertoire lfd
- DNS dynamique lfd
- Modèles d'alerte lfd
- Fichiers de l'analyseur de journaux lfd
- Listes de blocage lfd
- Utilisateurs de Syslog lfd
Statut lfd
Le 'lfd Status' fournit les détails systemd du 'lfd.service' en cours d'exécution sur votre serveur. Vous verrez s'il est en cours d'exécution ou non, les entrées de journal récentes le concernant et si le service rencontre ou non des problèmes. c'est à dire; ne démarre pas
lfd Redémarrer
Le ‘lfd Restart’ lance un redémarrage du ‘lfd.service’ en cours d’exécution sur votre serveur. Ceci est recommandé après toute sorte d'ajustement de la configuration lfd pour s'assurer que le service a été mis à jour avec les nouveaux paramètres de configuration.
lfd Ignorer le fichier
La section ignore du démon d'échec de connexion vous permet de mettre en liste blanche des éléments tels que les adresses IP, les processus, les répertoires, les scripts, etc. Il permet un contrôle détaillé sur ce qui ne devrait pas être préoccupant.
- csf.ignore — Permet d'ignorer les adresses IP qui rencontrent des incidents tels que des échecs de mot de passe.
- csf.pignore — Permet d'ignorer les processus qui ne doivent pas être suivis (tels que les processus de longue durée, c'est-à-dire mongod)
- Exemple de chemin tel que "exe:/usr/local/bin/mongod"
- Exemple d'utilisateur tel que "user:nobody ' qui ignorerait alors tous les processus de l'utilisateur personne.
- csf.fignore — Permet d'ignorer les répertoires si Directory Watching est configuré pour un chemin de fichier spécifique
- Nécessite un chemin complet ou une correspondance avec un modèle d'expression régulière Perl.
- csf.signore - Permet d'ignorer des scripts spécifiques qui vont être sciemment exécutés (c'est-à-dire des scripts de messagerie smtp)
- csf.rignore - Permet d'ignorer les recherches DNS inversées si CSF bloque les robots d'exploration (tels que googlebot, bing, etc.)
- csf.suignore — Permet d'ignorer les super-utilisateurs lors de la vérification LF_EXPLOIT SUPERUSER.
- csf.migore — Permet d'ignorer la liste des utilisateurs et des adresses IP locales par la vérification RT_LOCALRELAY_ALERT.
- csf.logignore - Autorise l'utilisation de regex pour faire correspondre les journaux à ignorer par LOGSCANNER
- csf.uidignore — Permet à la liste des ID utilisateur (UID) d'être ignorée par la fonction de suivi des utilisateurs.
Lfd Directory File Watching
La modification de ce fichier (csf.dirwatch) vous permet de définir une liste de fichiers et/ou de répertoires dont vous souhaitez surveiller les modifications. Toute modification apportée aux fichiers répertoriés enverra une alerte au contact de notification sur le serveur (généralement le contact racine).
DNS dynamique lfd
Tous les domaines répertoriés dans ce fichier (csf.dyndns) seront résolus et autorisés à traverser le pare-feu. Ceci est utile dans les situations où vous utilisez un service dyndns tel que no-ip.com et que vous ne souhaitez pas constamment ajouter votre adresse IP à la liste blanche.
Modèles d'alerte lfd
Le démon d'échec de connexion fournit des modèles pour chaque alerte et notification de suivi qu'il envoie en ce qui concerne les tentatives et les échecs de connexion. Vous pouvez modifier ces modèles pour supprimer ou inclure des informations que vous jugez nécessaires ou non. Cliquez sur le menu déroulant pour afficher une liste des fichiers de modèle.
Fichiers de l'analyseur de journaux lfd
Ce fichier (csf.logfiles) répertorie les fichiers journaux que vous souhaitez faire analyser par LOGSCANNER. S'il est activé, le service lfd enverra alors un rapport périodique basé sur ce qui a été scanné.
Listes de blocage lfd
Ce fichier (csf.blocklists) permet de modifier les listes de blocage spécifiées dans lfd/csf. Permettre le blocage automatique des adresses IP au sein de ces listes de blocage. c'est à dire; spamhaus, clients tor, maxmind, etc
Utilisateurs de Syslog lfd
Ce fichier (csf.syslogusers) permet de modifier les utilisateurs autorisés à se connecter à syslog/rsyslog. Les utilisateurs ajoutés ici sont ajoutés au groupe système. Ce fichier n'a généralement pas besoin d'être touché.
Conclusion
La gestion de la section Login Failure Daemon depuis WHM n'est pas si difficile grâce à l'interface utilisateur fournie par le développeur du plugin. Compte tenu de ce que nous avons vu, vous devriez avoir une idée générale de ce que tout est et de ce que fait chaque fonctionnalité. Nous espérons que cela vous a été utile