[Résolu] Adresse IP de connexion

cparfait · November 4, 2014, 4:22pm

Bonjour,

Je suis à la recherche d’une information sur les logs.
Est-il possible de retrouver l’adresse IP du client qui se connecte en webmail quelque par sur des logs ?

Par avance, merci.

Poustiquet · November 4, 2014, 11:18pm

Bonne question …
Je vais regarder cela demain …

nico.dumont · November 5, 2014, 10:19am

Bonjour,
Tu peux trouver l’adresse IP des personnes qui accèdent au webmail via les log de NGINX (var/log/nginx) mais tu n’a pas d’information sur les tentatives de connexions.

Tu peux effectivement regarder les mail.log pour une protection contre intrusion via IMAP ou SMTP. Mais pas pour les tentatives d’intrusions via le webmail (ou même les API) car il n’y a pas de log dans mail.log en cas d’utilisateur/password erroné.

Si le but est de bloquer les tentative d’intrusion, j’ai déjà évoqué cette problématique dans un autre post http://forum.blue-mind.net/viewtopic.php?id=253 et écrit un petit plugin pour logger les tentative de connexion et bloquer le user le cas échéant. (https://github.com/pumdum/BM-Fail2Ban). C’est loin d’être une solution idéale mais pas trouvé mieux a l’époque.

Bonne journée,
Nicolas

PascalS · November 5, 2014, 11:24am

Bonjour tout le monde,

sinon, il y a pas mal d’infos dans le fichier “/var/log/bm/core.log”, et particulièrement les “erreurs” de connexion.
Et ce premier niveau de surveillance est fait dans bm-stats (auto-promo).

Pascal

nico.dumont · November 6, 2014, 3:30pm

Bonjour,

Effectivement beaucoup d’info dans le core.log mais malheureusement pas d’adresse IP.
Sinon je vient de voir que l’équipe bluemind a fait sa propre version d’un plugin pour bloquer les tentative d’intrusion (surement bien mieux que la mienne). Disponible sur le market : https://marketplace.blue-mind.net/addons/39/

pierreb · November 8, 2014, 5:26pm

Bonjour,
pour la question originale, les logs d’accès web, qui contiennent l’IP du client web sont dans nginx (/var/log/nginx/)
Cordialement

cparfait · November 22, 2014, 4:30pm

Merci.

Toony · December 8, 2014, 12:41pm

Actuellement, l’idée est de chercher dans un des services BlueMind un log correspondant à ce qu’on souhaite - erreur de login par exemple - puis faire la correspondance avec les logs de NGinx en fonction de l’heure (attention, les logs des services BlueMind sont en UTC, ceux de NGinx en heure locale).

Nous prévoyons de simplifier celà.

cparfait · December 8, 2014, 1:18pm

Merci pour cette précision.