Acces Jeedom ...Bizarre

Bonjour a tous,
J’ai un soucis de temps a autre avec l’accès à Jeedom :
Je vais essayer de m’expliquer :

• Je suis connecté sur Jeedom en local tout fonctionne.
• Je me déconnecte et ensuite quand je veux me connecter rien a faire …
• En « https://mon_domaine » ça fonctionne…sur le même PC.
• Je vais sur un autre PC les 2 acces sont OK « http et https »

Le lendemain tout est rentré dans l’ordre
Probablement que Jeedom bloque l’acces (IP… Mac adresse…) mais pourquoi ???

Si quelqu’un a une idée.
Merci

Probablement lié à un blocage fail2ban ?

lorsque ca arrive, essayez :

jeedom@domo:~ $ sudo fail2ban-client status
Status
|- Number of jail:      1
`- Jail list:   sshd

et en fonction du résultat :

jeedom@domo:~ $ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 4
|  |- Total failed:     21397
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 2
   |- Total banned:     2937
   `- Banned IP list:   128.199.138.145 206.189.233.82

Si vous avez dans le Jail list un http ou https, c’est la cause de vos pbs. Restera à trouver l’origine

Merci je vais essayer lors de mon prochain blocage.
Je te tiens au courant.

Je viens de reproduire l’erreur et je retrouve bien mon IP dans la liste des IP bannies.
Mais pourquoi ??

pi@rpi4-jeedom:~ $ sudo fail2ban-client status apache-multiport
Status for the jail: apache-multiport
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     57
|  `- File list:        /var/www/html/log/http.error
`- Actions
   |- Currently banned: 2
   |- Total banned:     5
   `- Banned IP list:   45.155.204.146 192.168.30.98
pi@rpi4-jeedom:~ $

Tu dois avoir un élément sur ton réseau qui envoie une requête HTTP ou HTTPS avec une authentification incorrecte (ancien mot de passe ?)
le fail2ban permet de bloque rune @IP si des tentatives d’accès sont réalisées avec des paramètres de type (X tentatives en x mins → bannissement de l’adresse IP pendant x min/heures/jours

regarde le fichier /var/www/html/log/http.error si tu n’as pas des tentatives d’accès à partir des adresses 45.155.204.146 192.168.30.98. tu auras sans doute plus d’infos

Je retrouve bien ces adresses dans http.error

[Thu Apr 21 10:57:43.786119 2022] [access_compat:error] [pid 13464] [client 192.168.XX.98:30307] AH01797: client denied by server configuration: /var/www/html/assets, referer: http://192.168.XX.X/index.php?v=d&p=log

Mais je ne suis pas plus avancé.

J’ai reussi a supprimer le bannisement par « sudo iptables -D f2b-apache-multiport 2 »
Maintenant il faut que je trouve pourquoi.

Il faudrait savoir pourquoi tu as ces accès non autorisés de ton ordinateur (le 192.168.XX.98, c’est bien ton ordinateur ?) vers ton jeedom.

l’adresse http://192.168.XX.X/index.php?v=d&p=log corresdpond à la page des logs (analyse >> logs)

Bonjour,
Tu peux essayer d’ajouter ton IP dans « système>sécurité>liste blanche » ?

2022-04-21_12-17-12696×324 26.3 KB

je pense que son pb est plus bas niveau que les bannissements jeedom. et il me semble important de comprendre le pourquoi. ca ne semble pas normal !

A titre de comparaison, la 2nd adresse IP (45.155.204.146 ) est une adresse IP russe (sans doute des robots qui scannent les réseaux)

image489×711 29.4 KB

… Donc le fail2ban a une vrai utilité et ne filtre pas n’importe quoi

petite question, est-ce toujours l’adresse http://192.168.XX.X/index.php?v=d&p=log

Norbert

OUI pour les deux.

Non ce n’est pas toujours la même IP et je viens de « trouver » quand çà se produit et je ne comprends pas :

Je m’explique :
J’ai mis la log « jaspar » en debug.
Quand je clique sur « log brut » je fige l’ecran et c’est là que mon IP est bannie.
Je ne vois pas pourquoi.

image1042×208 10.5 KB

pas d’outils installé sur ton poste, de plugin sur le navigateur ?
Il serait intéressant que tu regardes si tu as des logs qui apparaissent n’importe quand ou seulement quand tu te connecte.
Et si c’ets lorsque tu es connecté, si c’est lorque tu vas dans les logs

Bonne piste, tu es en mode debug sur jaspar?

Oui je suis en debug sur « jaspar »
Je viens de réessayer et je constate qu’avec « chrome » çà ne le fait pas et çà bloque avec « firefox » navigateur que j’ai par défaut.

C’est bien ca !!!

Je viens de faire l’essai. mode debug, lorsque je bascule sur log brut, j’ai les meme messages que toi et à l’écran, j’ai ceci qui apparait …

image1552×814 179 KB

image1872×885 207 KB

Moi je n’ai pas ce message « Grdf » ni sur « firefox » ni sur « chrome » mais j’ai des bloqueurs de « popup » et ça viens de cela.
N’empeche que je ne comprends pas pourquoi.

Mais c’est bon.
Désolé de vous avoir sollicités.
Merci a tous

Je pense que le pb est lié à une ligne de log du fichier qui doit etre analysée et executée !!!
ce qui est encourageant, du coup, c’est que c’est reproductible

0334|[2022-04-21 14:31:16]DEBUG : [Energies][Données GRDF] Authent1: {"state":"SUCCESS","actualLockoutDuration":0,"displayCaptcha":false,"redirectUrl":"https://sofa-connexion.grdf.fr:443/openam/oauth2/externeGrdf/authorize?response_type=code&scope=openid%20profile%20email%20infotravaux%20%2Fv1%2Faccreditation%20%2Fv1%2Faccreditations%20%2Fdigiconso%2Fv1%20%2Fdigiconso%2Fv1%2Fconsommations%20new_meg%20%2FDemande.read%20%2FDemande.write&client_id=prod_espaceclient&state=0&redirect_uri=https%3A%2F%2Fmonespace.grdf.fr%2F_codexch&nonce=7cV89oGyWnw28DYdI-702Gjy9f&by_pass_okta=1&capp=meg"

il faudrait à mon sens que tu flagues le sujet en V4.2 et plugin jaspar pour creuser le pb
edit : j’ai tagué le sujet

Merci pour le tag.

Ce n’est pas vraiment le plug-in qui est en cause.
Le problème c’est l’interprétation de l’html dans les logs qui a été ajouté dans le core.

Je répète mon avis : on ne peut pas faire cela, c’est une faille de sécurité. On n’a aucune idée de ce qui va être log lorsqu’on sauve un message d’erreur.
Cela ouvre la porte à une attaque xss.