http://redmine.ulysses.fr/http://redmine.ulysses.fr/themes/PurpleMine2/favicon/favicon.ico?16318893672017-05-25T11:29:56ZGalette bugs & featuresGalette - Evolution #1029: Adresses IP navigateur dans logs d'échecs d'authentificationhttp://redmine.ulysses.fr/issues/1029?journal_id=180822017-05-25T11:29:56ZGeorges Racinet
<ul><li><strong>Fichier</strong> <a href="/attachments/121">0001-Logging-remote-IPs-in-case-of-failed-login.patch</a> <a class="icon-only icon-download" title="Télécharger" href="/attachments/download/121/0001-Logging-remote-IPs-in-case-of-failed-login.patch">0001-Logging-remote-IPs-in-case-of-failed-login.patch</a> ajouté</li></ul><p>Voici le patch, fait par rapport à master.</p> Galette - Evolution #1029: Adresses IP navigateur dans logs d'échecs d'authentificationhttp://redmine.ulysses.fr/issues/1029?journal_id=180832017-05-25T11:32:37ZGeorges Racinet
<ul><li><strong>Fichier</strong> <a href="/attachments/122">0001-Develop-Logging-remote-IPs-in-case-of-failed-login.patch</a> <a class="icon-only icon-download" title="Télécharger" href="/attachments/download/122/0001-Develop-Logging-remote-IPs-in-case-of-failed-login.patch">0001-Develop-Logging-remote-IPs-in-case-of-failed-login.patch</a> ajouté</li></ul><p>Et voici un portage à la branche develop (mais je n'ai pas eu l'occasion de le tester en vrai)</p> Galette - Evolution #1029: Adresses IP navigateur dans logs d'échecs d'authentificationhttp://redmine.ulysses.fr/issues/1029?journal_id=180842017-05-26T05:32:36ZJohan Cwiklinskijohan@x-tnd.be
<ul><li><strong>Version cible</strong> changé de <i>0.8.3</i> à <i>0.9</i></li></ul><p>Hello,</p>
<p>Merci pour le patch :)</p>
<p>Je me posais la question de l'utilité de cette info dans les logs, alors qu'elle est déjà présente dans la table des logs de Galette. Je présume cependant qu'il est plus facile de configurer un système de surveillance sur un fichier que sur une base de données.<br />Don, OK pour intégrer ça, pas de soucis.</p>
<p>La 0.9 sortira... Quand elle sera prête. Néanmoins, il n'y aura plus de nouvelles versions de la 0.8.x désormais. Ce sera donc intégré en 0.9 uniquement.</p>
<p>Ce serait donc pas mal que tu puisses tester ça en 0.9 ; même si je ne vois pas de raison pour que ça ne fonctionne pas.<br />Je n'ai pas la possibilité de tester les histoires de proxy ; mais je présume que l'IP enregistrée dans l'historique est incorrecte elle aussi, je me trompe ?</p> Galette - Evolution #1029: Adresses IP navigateur dans logs d'échecs d'authentificationhttp://redmine.ulysses.fr/issues/1029?journal_id=180852017-05-26T11:07:42ZGeorges Racinet
<ul></ul><p>Pour info, je compte utiliser fail2ban pour surveiller tout ca, et je confirme, c'est plus direct et uniforme de suivre des logs en fichiers (ou assimilés). Par exemple fail2ban peut repérer également les attaques SSH, tentatives de pollution DNS et bien d'autres. C'est utile d'avoir de l'uniformité à ce niveau quand on a des services très divers à surveiller.</p>
<p>Merci pour les infos sur les versions, effectivement ce qui compte pour moi c'est d'avoir le moins possible à maintenir mes propres patches, donc si la prochaine version est a priori la 0.9, ça va très bien. Je vais voir pour tester en branche 'develop', et te tiendrai au courant.</p>
<p>Pour l'IP enregistrée dans historique, si l'on parle bien de la colonne ip_log de la table galette_logs, effectivement je vois uniformément l'adresse du reverse proxy depuis qu'on en a un… Je peux ajouter des patches pour ça, mais il y a un petit hic dans le cas le plus genéral : X-Forwarded-For est multivalué (représente la chaîne entière de proxies), et si l'on fait confiance aveuglément en prenant la première valeur, alors c'est facile de tricher, ou simplement c'est sans intérêt (par exemple avec une adresse privée comme point de départ, et un forward-proxy, scénario courant de réseau d'entreprise ou de hotspot). Donc il faudrait un param de config indiquant quel(s) proxies on veut remplacer par l'IP amont, ça devient plus compliqué, mais je veux bien le faire.</p> Galette - Evolution #1029: Adresses IP navigateur dans logs d'échecs d'authentificationhttp://redmine.ulysses.fr/issues/1029?journal_id=180872017-05-27T07:44:09ZJohan Cwiklinskijohan@x-tnd.be
<ul><li><strong>Précède</strong> <i><a class="issue tracker-2 status-5 priority-3 priority-lowest closed behind-schedule" href="/issues/1031">Evolution #1031</a>: Prise en compte des proxy dans les logs</i> ajouté</li></ul> Galette - Evolution #1029: Adresses IP navigateur dans logs d'échecs d'authentificationhttp://redmine.ulysses.fr/issues/1029?journal_id=180882017-05-27T07:46:06ZJohan Cwiklinskijohan@x-tnd.be
<ul></ul><p>Georges Racinet a écrit :</p>
<blockquote>
<p>Merci pour les infos sur les versions, effectivement ce qui compte pour moi c'est d'avoir le moins possible à maintenir mes propres patches, donc si la prochaine version est a priori la 0.9, ça va très bien. Je vais voir pour tester en branche 'develop', et te tiendrai au courant.</p>
</blockquote>
<p>Ok, merci :)</p>
<blockquote>
<p>Pour l'IP enregistrée dans historique, si l'on parle bien de la colonne ip_log de la table galette_logs, effectivement je vois uniformément l'adresse du reverse proxy depuis qu'on en a un… Je peux ajouter des patches pour ça, mais il y a un petit hic dans le cas le plus genéral : X-Forwarded-For est multivalué (représente la chaîne entière de proxies), et si l'on fait confiance aveuglément en prenant la première valeur, alors c'est facile de tricher, ou simplement c'est sans intérêt (par exemple avec une adresse privée comme point de départ, et un forward-proxy, scénario courant de réseau d'entreprise ou de hotspot). Donc il faudrait un param de config indiquant quel(s) proxies on veut remplacer par l'IP amont, ça devient plus compliqué, mais je veux bien le faire.</p>
</blockquote>
<p>Hum... Je ne pensais pas que la récupération serait si "compliquée" :-/ je te laisse juge pour le coup ; tu es actuellement le seul utilisateur ayant émis ce type de besoin.<br />J'ai créé un ticket à part (<a class="issue tracker-2 status-5 priority-3 priority-lowest closed behind-schedule" title="Evolution: Prise en compte des proxy dans les logs (Fermé)" href="http://redmine.ulysses.fr/issues/1031">#1031</a>) pour ce point précis, sachant que je ne pourrai m'en charger moi même, si tu es partant... :-)</p> Galette - Evolution #1029: Adresses IP navigateur dans logs d'échecs d'authentificationhttp://redmine.ulysses.fr/issues/1029?journal_id=180892017-05-27T14:53:35ZGeorges Racinet
<ul></ul><p>Je confirme que le patch pour la branche develop fonctionne :</p>
<pre>
192.168.0.202 - 2017-05-27 14:43:39 - 4 - No entry found for login `asd` Client 192.168.0.245 X-Forwarded-For 2a01:e35:abcd:dead:beef:abcd:6385:b204
</pre>
<p>Vu pour <a class="issue tracker-2 status-5 priority-3 priority-lowest closed behind-schedule" title="Evolution: Prise en compte des proxy dans les logs (Fermé)" href="http://redmine.ulysses.fr/issues/1031">#1031</a>, merci, et pour ce qui est de la complexité, bah c'est l'adresse IP elle même qui n'est qu'un pis-aller.</p> Galette - Evolution #1029: Adresses IP navigateur dans logs d'échecs d'authentificationhttp://redmine.ulysses.fr/issues/1029?journal_id=180942017-06-08T22:11:35ZJohan Cwiklinskijohan@x-tnd.be
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Fermé</i></li><li><strong>% réalisé</strong> changé de <i>0</i> à <i>100</i></li></ul><p>Patch intégré, merci</p> Galette - Evolution #1029: Adresses IP navigateur dans logs d'échecs d'authentificationhttp://redmine.ulysses.fr/issues/1029?journal_id=180962017-06-09T09:02:52ZGeorges Racinet
<ul></ul><p>Super, merci !</p>