Je ne sais pas si le me fait pirater ? Login attempt failed!

Entraide Home Assistant
1

Mon problème

Salut

Doit je m’inquiéter de voir régulièrement ce type de message dans mes notifications?
Mon HA est disponible sur le web via mon nom de domaine et configuré avec cloudflared.

IMG_1594
IMG_15941290×2796 108 KB

Merci

Ma configuration

[center] ## System Information

version core-2024.5.5
installation_type Home Assistant OS
dev false
hassio true
docker true
user root
virtualenv false
python_version 3.12.2
os_name Linux
os_version 6.6.28-haos-raspi
arch aarch64
timezone Europe/Paris
config_dir /config
Home Assistant Community Store
GitHub API ok
GitHub Content ok
GitHub Web ok
GitHub API Calls Remaining 4989
Installed Version 1.34.0
Stage running
Available Repositories 1398
Downloaded Repositories 7
HACS Data ok
Home Assistant Cloud
logged_in false
can_reach_cert_server ok
can_reach_cloud_auth ok
can_reach_cloud ok
Home Assistant Supervisor
host_os Home Assistant OS 12.3
update_channel stable
supervisor_version supervisor-2024.05.1
agent_version 1.6.0
docker_version 25.0.5
disk_total 916.2 GB
disk_used 7.9 GB
healthy true
supported true
board rpi4-64
supervisor_api ok
version_api ok
installed_addons Advanced SSH & Web Terminal (18.0.0), File editor (5.8.0), Mosquitto broker (6.4.0), Zigbee2MQTT (1.37.1-1), Cloudflared (5.1.10), Ring-MQTT with Video Streaming (5.6.4), Home Assistant Google Drive Backup (0.112.1), Simple Scheduler (2.5)
Dashboards
dashboards 4
resources 3
views 8
mode storage
Recorder
oldest_recorder_run 16 mai 2024 à 21:26
current_recorder_run 26 mai 2024 à 23:41
estimated_db_size 140.70 MiB
database_engine sqlite
database_version 3.44.2
[/center]
2

Déjà vérifier d’où vient cette IP ?
Et pourquoi ne pas activer la banissement d’ip

2 « J'aime »
3

Salut,
Effectivement mettre le fail to ban est nécessaire si tu as ton HA directement sur le net
Le fait d’avoir ce message ne veut pas dire que tu été piraté… mais que cette IP a tenté de se connecter…

D’ailleurs en vérifiant cette IP, elle est connue sur crowdsec pour des tentatives de brute force ces derniers jours.

image
image1171×803 72 KB

3 « J'aime »
4

Autre chose si tu peux, le temps de mener tes investigations, et ton durcissement.
Couper ton accès depuis le web sur ton HA…
Principe de précaution.

1 « J'aime »
5

Salut
Tu peux me dire à part l’ip ban si je devrais faire autre chose?

6

Un certificat SSL mais c’est le minimum déjà quand tu ouvres quelque service http que ce soit sur internet.
Après un reverse proxy qui peux te permettre d’avoir divers autres services comme du geoip
Mais déjà du fail2ban + ssl

1 « J'aime »
7

Je te conseille de vérifier si ce n’est pas l’IP publique de ta connexion internet ou de celle d’un de tes smartphones, par exemple.

La plupart du temps, on s’inquiète alors qu’on est soit même la cause du message.

Sinon, exposer sur internet en matchant uniquement sur un nom de domaine spécifique (VirtualHost) évite les tentatives de ce genre.

Et activer une méthode d’authentification multi facteur.

8

Y’a du mfa avec HA et l’application compagnon ?

9

Et oui , ça date un peu.
Tu vas sur ton profil utilisateur ( celui en dessous du menu paramètres / notifications une fois connecté) puis onglet sécurité.

Côté smartphone j’utilise Microsoft authentificator mais il y en a d’autres

1 « J'aime »
10

Je vais aller voir va tiens merci @Krull56

Ça doit être de l’otp :+1:

11

Oui, tout à fait, otp :grin:

1 « J'aime »
12

Merci pour ta réponse.
J’ai mis en place l’ip ban j’ai eu une autre alerte mais il fichier avec la liste des ip banni n’a pas été créé.
Tu as une piste ?

13

Il y a un tuto pour mettre le ssl?

14

tu dois régler un nombre de tentatives avant de bloquer c’est la paramètre login_attempts_threshold https://www.home-assistant.io/integrations/http/#login_attempts_threshold

pour le SSL le plus simple c’est avec l’addon duckdns et let’s encrypt mais y’a plein de méthodes

1 « J'aime »
15

Salut,
Mais tu disais que tu passais par Cloudflared… tu n’as pas besoin d’autre choses en théorie, c’est cloudflare qui gère le SSL dans le tunnel créé…

Le fait d’avoir ce message ne veut pas dire que l’ip en question a dépassé le nombre d’erreurs qui génère le ban.

1 « J'aime »