SME & SPIP - Bloquer certaines adresses ip à accéder au serveur [SME]

SMELINUXSECURITEADRESSE IPSPIP

Bloquer de façon permanente plusieurs adresses IP externes contenues dans un fichier

Voilà, un ou deux sites chinois ou japonais viennent me casser les pieds sur ce site avec un robot qui insère automatiquement des participations aux forums de ce site.

La première chose à faire, c’est de paramétrer spip pour que les publications venant du forum soient validées par l’administrateur, a priori.

spip forum

Ceci est intéressant pour prévenir les sites qui ne s’entourent pas de précautions pour insérer leur pub ou faire écrouler des forums.

Au passage, si des contributions aux forums subsistent dans spip (interface privée), même après avoir été interdites (non-validées par l’administrateur), rappelez-vous que le moyen le plus radical de les enlever est d’aller dans la base mysql spip (avec par ex phpmyadmin), et repérer puis supprimer les enregistrements gênants. Ainsi, spip est tout propre d’un coup !

Si ces manips devaient se répéter trop souvent, c’est qu’un robot vous a pris pour cible, il faut alors bloquer ses requêtes, d’où l’objet de cette deuxième étape ci-dessous.

La deuxième étape, je l’ai trouvée sur un site génial qui utilise la même licence creative commons que le site où vous vous trouvez, et l’article qui suit est quasiment un copier-coller (autorisé par licence) du site sme-server.fr, entièrement dédié à la sme, et créé et maintenu par Monsieur Franck PIERRE, plus connu sur Internet sous le pseudonyme Grand’Pa.

Supposons que vous soyez confrontés à de nombreux pénibles... Je vous propose de créer un fichier /etc/masq_DropListOfIP qui contiendra des adresses et/ou des plages d’adresses IP devant être bloquées :

mcedit /etc/masq_DropListOfIP

Ce fichier ne doit contenir que des adresses ou plages d’adresses IP (une seule par ligne) et doit donc ressembler à ceci :

(attention à bien respecter la normalisation des adresses, les contrôles de validité des adresses et masques étant plutôt légers)

Passons maintenant à la création du fragment de template :

 !Attention ! Pour des raisons d’édition sur ce site internet, concernant notamment la taille du cadre d’affichage, les deux dernières lignes de ce cadre en forment une seule :
mcedit /etc/e-smith/templates-custom/etc/rc.d/init./masq/91DropListOfIP. Evitez donc le copier-coller avec putty, qui ne prendra que la première ligne et oubliera le plus important, soit la fin de la phrase : init./masq/91DropListOfIP.

De plus, l’éditeur mcedit n’acceptant pas les "copier-coller" venant d’un autre système, vous pouvez, soit vous palucher le code et le retaper strictement dans le fichier avant de le sauvegarder, soit copier le fichier joint à cet article sous /etc/e-smith/templates-custom/etc/rc.d/init./masq/. J’ai opté pour la deuxième solution.

Pour les personnes qui sont un peu récalcitrantes au mode commande en ligne de linux, il existe un très bon outil libre : "winscp", que vous pouvez télécharger depuis le site que vous atteindrez en cliquant sur le lien de ce paragraphe.

Ce nouveau fragment contiendra le code suivant :

Là aussi, il faut faire prendre en compte cette modification par le système :

signal-event remoteaccess-update

L’intérêt principal de cette deuxième méthode est que le fichier /etc/masq_DropListOfIP peut être facilement créé à la volée par d’autres programmes.

Merci Grand’Pa !

Documents joints