01:05 <mdk> bon je m'en suis sorti, via la rescue Ubuntu, en utilisant https://github.com/mkatiyar/fuse-ufs2 pour faire un "mv /etc/pf.conf~ /etc/pf.conf", j'ai pu me ssh à nouveau, et j'ai pu lancr mon rsync (je note que j'ai grillé 2 connexions sur 4 pour ces prochaines 24h)
01:16 <misc> y a besoin d'un module fuse ?
01:17 <misc> je pensais que ufs2 etait r/w
01:17 <misc> https://www.kernel.org/doc/html/latest/admin-guide/ufs.html
08:06 <Mindiell> mdk: et pourquoi ne pas simplement augmenter le nombre de connexions ? :o)
08:07 <mdk> C'est ce que j'avais fait sur rainette, mais bon, j'ai plus trop envie de toucher a cette ligne pour cette semaine, j'ai eu ma dose.
08:53 <Mindiell> :D
08:53 <Mindiell> merci pour tout en tout cas ;o)
09:48 <misc> mais, de toute façon, y a pas un usage de clé ?
11:53 <Pilou> misc: si
12:24 <vstinner> mdk: salut. c'est chaud les soucis que tu as eu. je ne comprends pas comment tu as pu accéder à un mode rescue à distance, ni comment tu as pu t'en sortir, mais bravo :)
12:24 <vstinner> mdk: à quoi sert le blocage SSH ?
16:10 <misc> vstinner: à protéger des terroristes de l'internet
16:11 <misc> (quand même, 4 connecs ssh => bloqué 24h...)
16:30 <olasd> surtout 4 connecs réussies
16:30 <No`> parce que les terroristes de l'internet, c'est qu'à la 5ème connexion qu'ils font des dégâts ?
16:30 <olasd> enfin c'est rigolo
16:31 <olasd> c'est une méthode intéressante pour limiter le burnout de tes sysadmins bénévoles
16:48 <vstinner> olasd: haha, j'crois pas que ça ait aidé mdk à se relaxer :)
16:56 <misc> ça lui a donné un challenge intéressant
16:57 <misc> une forme de CTF
16:57 <misc> (Correct The F*** server)
22:02 <jpcw_> mdk: j'ai vu que tu avais réussi a décommenter la ligne
22:02 <jpcw_> bravo
22:03 <jpcw_> en fait le fait de la commenter, tu fermais le port ssh, du coup le firewall faisait son taff, il brulait les paquets
22:04 <jpcw_> la première partie de la ligne est plutôt explicite
22:04 <jpcw_> pass in on $if_ext inet proto tcp from any to $if_ext port $port_ssh_wan flags S/SA keep state
22:05 <mdk> jpcw_: yep je m'en suis sorti, c'était un peu une galère de monter du UFS sur Ubuntu mais au pire j'aurai été éditer le fichier a coup de dd ou de Python ou je sais pas ;P y'a toujours moyen :P
22:06 <jpcw_> ça laisse passer les paquets (en suivant l'état de la connexion ( le keep state)) sur connexion tcp sur le port ssh depuis n'importe ou sur l'interface publique
22:06 <mdk> jpcw_: btw j'suis pas super fan de l'idée de blacklister les gens pour 3 connexions légitimes, j'ai vraiment trop vite fait de lancer 3 connexions sur une machine moi
22:06 <mdk> un ssh, un rsync "pour voir" un rsync pour rsync et boom j'suis out :(
22:07 <jpcw_> mdk il suffit de commenter la seconde partie de la ligne
22:07 <jpcw_> mais pour éviter tout accident
22:07 <jpcw_> il y a des ips qui sont constamment trustées
22:07 <mdk> pour éviter tout accident j'vais plus y toucher cette semaine :P
22:07 <jpcw_> dont la la tienne, celle de rainette etc
22:07 <mdk> ah bah tu peux me rajouter 82.64.237.93 ?
22:08 <jpcw_> c'est fait
22:08 <mdk> la mienne a du changer en décembre, j'ai changé d'opérateur
22:08 <mdk> ok merci :)
22:08 <jpcw_> sur rainette et sur storage
22:08 <mdk> cool
22:08 <jpcw_> root@storage:~ # grep trusted /etc/pf.conf
22:08 <jpcw_> # trusted ips: box jp paulla rainette mdk
22:08 <jpcw_> trusted_ips="{ 163.172.36.34, 85.14.132.176/28, 163.172.80.163, 82.64.237.93 }"
22:09 <jpcw_> #laisse passer les ips de trusted, elles ne peuvent tomber dans ssh-bruteforce
22:09 <jpcw_> pass in quick on $if_ext inet proto tcp from $trusted_ips to $if_ext port $port_ssh_wan flags S/SA keep state
22:09 <jpcw_> sur rainette aussi
22:09 <jpcw_> root@rainette:~ # grep trusted /etc/pf.conf
22:09 <jpcw_> # trusted ips: box jp paulla storage mdk
22:09 <jpcw_> trusted_ips="{ 163.172.36.34, 85.14.132.176/28, 163.172.62.148, 82.64.237.93 }"
22:09 <jpcw_> #laisse passer les ips de trusted, elles ne peuvent tomber dans ssh-bruteforce
22:09 <jpcw_> pass in quick on $if_ext inet proto tcp from $trusted_ips to $if_ext port $port_ssh_wan flags S/SA keep state
22:09 <mdk> ok ok
22:10 <jpcw_> et je t'ai harmonisé le le 13/300 dans les deux
22:11 <mdk> j'pense que le 13 c'est moi qu'en avait marre du 3 et qu'ai mis un 1 devant :P
22:11 <mdk> (c'était plus safe que de commenter, j'était bien inspiré ce jour là)
22:12 <jpcw_> ben l'autre façon de faire était de mettre ton ip dans la table des trusted
22:12 <jpcw_> par contre trusted et la règle associée n'existait pas sur storage
22:12 <mdk> à l'époque ou j'ai fait la modif sur rainette je n'avais pas d'IP fixe a la maison
22:13 <jpcw_> du coup quand tu commenté le pass in, ben tu as empêché toute connexion ssh sur la machine
22:13 <jpcw_> et comment dire, ça juste focntionne un firewall :)
22:13 <mdk> :P
22:13 <mdk> Quand je fais des grosses modifs j'me met toujours un 'at' avec un cp qui restaure une conf safe :P
22:14 <mdk> un "anti-balle-dans-le-pied"
22:14 <jpcw_> oui
22:14 <mdk> mais là pour un commentaire, j'me souviens très bien, mon cerveau à hurlé "YOLO"
22:14 <mdk> ensuite j'ai perdu le ssh et là mon cerveau à hurlé un autre truc ... :P
22:14 <jpcw_> l'autre façon de faire est de créer un autre fichier et de lancer pf avec ton nouveau fichier
22:15 <mdk> ah pas bête
22:15 <mdk> (enfin j'sais pas faire, mais pas bete)
22:15 <jpcw_> si tu tires une balle dans le peid, tu rebootes la machine et ça reprend les règles du fichier par défaut
22:15 <jpcw_> quand tu es sur de toi, ben tu mv ton nouveau fichier sur l'ancien
22:16 <jpcw_> mdk: jouer avec un pare-feu c'est par définition dangereux
22:16 <jpcw_> pfctl -nf ton_nouveau_pf.conf
22:16 <jpcw_> le n vérifie la syntaxe
22:16 <jpcw_> pfctl -f ton_nouveau_pf.conf
22:17 <mdk> j'sais bien j'sais bien, j'ai pas retenu la leçon, c'est pas la première fois que je me lockout d'une machine sur une typo sur /etc/network/interfaces ou dans iptables :P
22:17 <jpcw_> tu loades les règles de nouveau_pf.conf
22:17 <jpcw_> si pas bon tu rebootes, et du coup il chargera /etc/pf.conf au reboot
22:17 <mdk> ça repart d'un état sans règles ou il faut purger les anciennes règles avant ?
22:17 <jpcw_> si fichier correct
22:17 <jpcw_> mv nouveau_pf.conf /etc/pf.conf and rulez
22:18 <jpcw_> ça conserves les états existants
22:18 <jpcw_> conserve
22:18 <jpcw_> après si tu peux flusher les états existant bien entendu, mais faut le faire explicitement
22:19 <jpcw_> donc avoir un second shell d'ouvert peut aussi te sauver la mise
22:19 <mdk> si y'a un "accept related"-like avant, en effet
22:20 <mdk> (accept established plutot)
22:20 <jpcw_> ben le keep-state sert à ça
22:20 <jpcw_> il te conserve les états
22:20 <jpcw_> tu peux bien sur faire des règles avec no-state etc
22:20 <jpcw_> bref man pf :)
22:23 <jpcw_> sinon tu aurais pu démarrer via la console en single_user, monter / en rw et éditer le fichier
22:23 <jpcw_> comme si tu avais voulu changer le password de root
22:23 <mdk> exact
22:24 <jpcw_> passer par un linux et monter l'ufs via fuse comme tu as fait, fonctionne aussi, mais c'est moins évident
22:24 <mdk> c'est un grub, j'peux mettre un init=/bin/bash tu veux dire ?
22:24 <jpcw_> j'ai eu à faire ça dans le passé, genre quand j'étais jeune
22:24 <jpcw_> je m'en rappelle encore
22:24 <jpcw_> et tu sais pourquoi j'ai du faire ça ?
22:25 <jpcw_> tout simplment parce que je m'étais tiré une balle dans le pied avec le firewall
22:25 <jpcw_> d'où tous les bons conseils que j'ai appris depuis
22:25 <jpcw_> ça s'appelle l'expérience :)
22:28 <jpcw_> bonne soirée