Bonjour à tous, petit post portant sur la sécurisation de jeedom pour une utilisation simple depuis l’extérieur du réseau domestique.
Je créer un nouveau poste car la plupart des postes traitant de ce sujet tourne toujours autour de la mise ne place du https et de la mise en place d’un certificat (let’s encrypt ou auto signé).
Le S de https ne sécurise pas votre installation jeedom cela sécurise votre connexion entre le serveur web et le navigateur.
Alors comment avez vous sécurisé votre installation jeedom ?
1/ j’ai d’abord voulu regarder du cotés de fail2ban et ainsi bloqué les essaies de connexion infructueuse mais malheureusement jeedom ne semble pas émettre de log lors de la saisie d’identifiants erroné ! c’est assez frustrant car fail2ban empêche assez simplement pas mal d’attaque non ciblé. Alors comment avez vous résolu ce problème avec le formulaire de connexion, contre le brute force ?
2/ j’ai principalement une utilisation extérieur via l’application mobile jeedom, savez vous si il est possible de filtrer via des règles sur le serveur web (apache) afin de n’autoriser que les clients de l’app mobile ? ou de n’ouvrir que la partie api depuis l’extérieur un filtre sur (/api/*) ou autre … car /api ne semble pas existé ? je lance des idées en l’air en espérant avoir un retour de la possibilité d’une des solutions.
2.1/L’app mobile a t’elle une signature particulière ?
2.2/ ou a t’elle un accès exclusif a une partie de l’url permettant ainsi d’autorisé cette url et non tout le site au reste du monde.
merci d’avance pour vos retours.
Note: je parle d’une utilisation simple de jeedom en extérieur, car actuellement pour effectuer des actions sur mon instance jeedom je me connecte en VPN a mon serveur perso (openvpn) je me retrouve donc en local pour mon utilisation et ca marche mais c’est compliqué et pas très WAF et un trop GEEK comme solution, c’est donc cette partie que j’aimerai rendre plus simple.
Rien trouvé de plus simple que d’ouvrir le port et créer une adresse en https.
Je n’ai jamais eu de problème de sécurité (peut être par ignorance)
Je vais suivre ce sujet qui est intéressant
Jeedom, c’est de l’apache (ou ngnix pour les vieilles versions) donc tu peux tout à fait utiliser fail2ban pour analyser les logs que tu produiras … Tu va effectivement passer à coté des tentatives des brutforce login/password mais :
dans ce cas, c’est jeedom qui va faire le ban des ip
de ce que je vois passer ici, c’est pas tellement jeedom qui est scanné… J’ai plein de tentatives d’accès à du Wordpress, à adminer, à divers CRM… bref ça fail2ban fera très bien le job
A titre d’info
Wed Aug 26 22:24:44 CEST 2020
Status for the jail: apache-botsearch
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- File list: /var/www/html/log/http.error
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
Status for the jail: apache-multiport
|- Filter
| |- Currently failed: 0
| |- Total failed: 21
| `- File list: /var/www/html/log/http.error
`- Actions
|- Currently banned: 14
|- Total banned: 14
`- Banned IP list: 103.73.183.128 122.228.19.80 159.192.33.119 162.142.125.25 178.130.184.235 185.150.189.165 195.205.161.133 195.54.160.21 74.116.180.26 85.185.179.234 192.35.168.250 45.143.220.65 178.93.33.228 45.148.121.32
Status for the jail: apache-noscript
|- Filter
| |- Currently failed: 0
| |- Total failed: 2
| `- File list: /var/www/html/log/http.error
`- Actions
|- Currently banned: 20
|- Total banned: 20
`- Banned IP list: 104.131.13.221 104.131.8.207 106.3.43.155 111.229.248.247 114.247.103.116 123.18.206.22 150.109.58.14 154.113.16.226 178.32.27.73 195.54.160.66 195.54.160.68 198.199.122.153 202.40.191.118 45.145.67.109 47.52.98.110 49.235.100.127 49.235.243.228 5.188.210.227 192.99.15.84 122.51.197.209
Status for the jail: apache-overflows
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- File list: /var/www/html/log/http.error
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- File list: /var/log/sslh.log
`- Actions
|- Currently banned: 3
|- Total banned: 3
`- Banned IP list: 195.54.160.183 208.100.26.232 83.97.20.21
Rho je suis passé à cotés de cela. Donc pour le point 1/ on peut légitiment penser que jeedom a sont propre fail2ban d’intégré.
et donc pour les scans de vulnérabilité effectué sur des faille wordpress ans co. … @naboleo tu t’y prends comment ? c’est effectivement moins dangereux pour nous, mais si on peut bloquer dés le début ce genre de scan de vulnérabilité ce n’est que mieux.
De quoi gérer les utilisateurs à travers un active directory ou un server ldap (openldap, par exemple)…
Sauf à avoir beaucoup d’utilisateurs, pas d’intérêt immédiat… En tout cas, c’est pas plus « secure »
un ldap c’est un annuaire, ou seront stocké les identifiants de connexion (login/password … entre autre) ca s’adresse plus aux entreprises et de l’utilisation plus professionnel de jeedom.
il dois être tard mais j’ai du mal a comprendre la définition de « Temps maximum entre les échecs » dans la parti sécurité des paramètre de configuration de jeedom.
? je lance des idées en l’air en espérant avoir un retour de la possibilité d’une des solutions.
Donc pour le point 1/ on peut légitiment penser que jeedom a sont propre fail2ban d’intégré. 
