OVH Community, your new community space.

Serveur accessible en SSH mais qui redémarre après quelques minutes en rescue


nowwhat
25/03/2016, 09h49
Citation Envoyé par pbalandier
....
J'ai installé une Debian 8 (jessie), et préparé mon serveur. J'ai changé le port SSH bien entendu.
Je l'ai sécurisé avec des règles iptables assez classiques et j'ai rajouté fail2ban et rkhunter.
Autre info :
Inutile de changer la porte "22".
Il suffit de 'balancer' le mode "authentifier par mot de passe" (uniquement activé par OVH pour que tu entre une première fois). Dépose un clé publique sur le serveur, et toi, garde un clé privé.
Puis, active cette authentification.
Laisse fail2ban surveiller la porte "22" .....
Et ça roule ....;

Depuis la version 8 de Debian, s'authentifier ainsi n'est plus une option, mais l’authentification par défaut. Il y à que OVH qui rétrograde pour faciliter la prise en main d'un nouveau serveur.

janus57
24/03/2016, 20h18
Bonjour,

pour info le "bon" guide est ici : https://docs.ovh.com/pages/releasevi...pageId=9928706

Cordialement, janus57

pbalandier
24/03/2016, 19h44
Merci Janus57,

En cherchant j'ai fini par comprendre que serveur Kimsufi = serveur OVH. Aussi fallait-il le savoir. Je savais que c'était une filiale, mais pas que les serveurs respectaient les mêmes règles.
Remettre ces indications sur le site Kimsufi aurait été bien, voir la moindre des choses. Ca évite des pertes de temps.

Pas de prob avec iptables, je gère assez bien, mais il fallait savoir qu'il fallait rajouter tout ceci pour autoriser le ping depuis les serveurs OVH :

/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 37.187.231.251 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source a2.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.184.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.185.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.186.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 167.114.37.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 151.80.231.244 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 151.80.231.245 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 151.80.231.246 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.sbg.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.bhs.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source IP.250 -j ACCEPT # IP = aaa.bbb.ccc obtenue selon la règle precedente
/sbin/iptables -A INPUT -i eth0 -p icmp --source IP.249 -j ACCEPT # temporaire, seulement pour serveurs HG
/sbin/iptables -A INPUT -i eth0 -p icmp --source IP.251 -j ACCEPT # IP pour system de monitoring

pbalandier
24/03/2016, 19h38
Merci Janus57,

J'ai en effet fini par comprendre qu'il fallait chercher les indications non pas sur le site Kimsufi mais sur celui d'OVH... Fallait le savoir...
Ca ne couterait pas grand chose de remettre ces indications ici pour les nouveaux venus qui ne savent pas forcément que les serveurs Kimsufi ont exactement les mêmes règles que ceux d'OVH.
Je savais que c'était une filiale d'OVH mais ne pensait pas que c'était strictement pareil.

Donc pour ceux comme moi qui cherche : http://guide.ovh.com/firewall

Pour autoriser le ping depuis nos serveurs, entrez les règles suivantes :
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 37.187.231.251 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source a2.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.184.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.185.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.186.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 167.114.37.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 151.80.231.244 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 151.80.231.245 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 151.80.231.246 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.sbg.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.bhs.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source IP.250 -j ACCEPT # IP = aaa.bbb.ccc obtenue selon la règle precedente
/sbin/iptables -A INPUT -i eth0 -p icmp --source IP.249 -j ACCEPT # temporaire, seulement pour serveurs HG
/sbin/iptables -A INPUT -i eth0 -p icmp --source IP.251 -j ACCEPT # IP pour system de monitoring

pbalandier
24/03/2016, 19h32
Bon j'ai trouvé ma réponse je crois...
Mais il ne faut pas chercher sur le site Kimsufi mais OVH...
Remettre ces indications de base ici aurait été pas mal quand même pour éviter de perdre du temps...
http://guide.ovh.com/firewall

Pour autoriser le ping depuis nos serveurs, entrez les règles suivantes :
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 37.187.231.251 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source a2.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.184.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.185.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.186.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 167.114.37.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 151.80.231.244 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 151.80.231.245 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 151.80.231.246 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.sbg.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.bhs.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source IP.250 -j ACCEPT # IP = aaa.bbb.ccc obtenue selon la règle precedente
/sbin/iptables -A INPUT -i eth0 -p icmp --source IP.249 -j ACCEPT # temporaire, seulement pour serveurs HG
/sbin/iptables -A INPUT -i eth0 -p icmp --source IP.251 -j ACCEPT # IP pour system de monitoring

janus57
24/03/2016, 19h17
Bonjour,

Faut-il autoriser une machine de monitoring OVH à pinguer le serveur ?
oui c'est écrit dans les guides OVH, le plus simple étant de ne pas jouer avec iptables.

Cordialement, janus57

pbalandier
24/03/2016, 18h56
Bonjour,

J'ai installé une Debian 8 (jessie), et préparé mon serveur. J'ai changé le port SSH bien entendu.
Je l'ai sécurisé avec des règles iptables assez classiques et j'ai rajouté fail2ban et rkhunter.

Tout fonctionne et après reboot j'y ai accès sans problème.

Problème : En moins de 5 minutes le serveur bascule en mode rescue.
L'email Kimsufi indique :

Logs:
----------------------
PING ns.#####ip-XXXXX (X.X.X.X) from 213.186.33.13 : 56(84) bytes of data.
From 213.186.33.13: Destination Host Unreachable From 213.186.33.13: Destination Host Unreachable From 213.186.33.13: Destination Host Unreachable
--- X.X.X.X ping statistics ---
10 packets transmitted, 0 packets received, +6 errors, 100% packet loss


Faut-il autoriser une machine de monitoring OVH à pinguer le serveur ?
Je n'ai reçu aucune indication au départ à ce sujet.

Merci de votre retour.

Pierre