Audit de l'existant et relevé technique - serveur srv2 le 28/05/2026¶
Synthèse¶
Le serveur actuel est un dédié ancien hébergeant plusieurs sites PHP, MariaDB, Postfix pour le mail sortant, OpenDKIM, et des sauvegardes Duplicity vers Scaleway. La migration est techniquement justifiée : Ubuntu 21.04, PHP 7.4, Apache/MariaDB/Postfix issus de cette génération, et plusieurs éléments de sécurité/maintenabilité sont dégradés.
Les ressources matérielles actuelles sont largement au-dessus de la volumétrie observée : environ 17 Go utilisés sur /, 4,6 Go sur /srv, 1,4 Go de données MariaDB, 2,3 Go de sites, 1,9 Go de dumps SQL locaux. CPU et RAM ne sont pas saturés au moment de l'audit. Un futur serveur de taille nettement inférieure peut probablement suffire, sous réserve de confirmer le trafic réel via les journaux Apache et mail, non accessibles avec l'utilisateur fourni.
Points critiques :
-
PHP 7.4 utilisé
-
OS Ubuntu plus mis à jour et deprecated
-
apache2ctl configtestéchoue : certificat manquant ou vide pouress-et-societe.net; un reload/redémarrage Apache risque donc d'échouer. -
MariaDB écoute sur
0.0.0.0:3306et le port 3306 est ouvert depuis Internet. -
SSH autorise
PermitRootLogin yesetPasswordAuthentication yes. -
Les sauvegardes Scaleway échouent actuellement avec une erreur GPG
Unusable public key; les derniers logs indiquentLast full backup date: none. -
freshclamest en échec depuis le 2026-05-12; ClamAV n'est donc pas un filet de sécurité opérationnel à ce stade. -
Plusieurs répertoires applicatifs sont possédés par
www-data, certains sont apache-writable, etwww-datadispose d'un shell/bin/bash. -
Pas d'anti-spam sortant
Système et matériel¶
| Élément | Valeur observée |
|---|---|
| Hostname | srv2 |
| OS | Ubuntu 21.04 Hirsute |
| Noyau |
5.11.0-49-generic, build janvier 2022 |
| Architecture | x86_64 |
| CPU | Intel Xeon E3-1225 v2, 4 coeurs, 3.20 GHz |
| RAM | 15 GiB |
| Swap | 1,5 GiB |
| Uptime | 20 jours au moment du relevé |
| IP publique | 94.23.62.195 |
| IPv6 | 2001:41d0:2:3fc3::1/56 |
Stockage :
| Montage | FS | Taille | Utilisé | Libre | Usage |
|---|---|---|---|---|---|
/ |
ext4 | 96G | 17G | 75G | 19% |
/boot |
ext4 | 488M | 252M | 206M | 56% |
/srv |
ext4 | 3.4T | 4.6G | 3.3T | 1% |
Disques et RAID :
- 3 disques HDD d'environ 1,8 To :
sda,sdb,sdc. -
/bootet/en RAID1 logiciel sur 3 disques. -
/srven RAID5 logiciel sur 3 disques. -
/proc/mdstatindique les grappes en état[UUU], donc pas de disque manquant détecté.
Charge observée :
- Load autour de
0.8sur 4 coeurs. - CPU instantané autour de 90% idle lors des mesures courtes.
- RAM : environ 3,5 GiB utilisés, 11 GiB disponibles.
- MariaDB utilise environ 18% de RAM, avec
innodb_buffer_pool_size = 2G. - Réseau instantané faible pendant l'audit, environ 90 KiB/s sortant sur l'interface publique.
Ports et exposition réseau¶
Ports en écoute côté serveur :
| Port | Écoute | Usage |
|---|---|---|
| 80/tcp | *:80 |
HTTP Apache |
| 443/tcp | *:443 |
HTTPS Apache |
| 499/tcp |
0.0.0.0 et IPv6 |
SSH |
| 25/tcp |
0.0.0.0 et IPv6 |
SMTP Postfix |
| 587/tcp |
0.0.0.0 et IPv6 |
Submission Postfix |
| 3306/tcp | 0.0.0.0 |
MariaDB |
| 9100/tcp | 127.0.0.1 |
métriques noderig
|
| 12301/tcp | 127.0.0.1 |
milter OpenDKIM |
| 525/tcp | 127.0.0.1 |
service SMTP local Postfix |
Scan externe ponctuel depuis la machine d'audit :
| Port | État externe |
|---|---|
| 25/tcp | filtered |
| 80/tcp | open |
| 443/tcp | open |
| 499/tcp | open |
| 587/tcp | open |
| 3306/tcp | open |
Constat important : MariaDB est accessible depuis Internet sur 3306/tcp. Même avec authentification forte, ce port devrait être fermé publiquement sauf besoin applicatif externe explicitement justifié.
Services principaux¶
Services actifs notables :
apache2php7.4-fpmmariadbpostfixopendkimsaslauthdcronsmartmontoolsmdmonitorbeamiumnoderigsnapdsshrsyslog
Apache, PHP et sites web¶
Problème de configuration critique :
apache2ctl configtest
AH00526: Syntax error on line 21 of /etc/apache2/sites-enabled/00-root-le-ssl.conf:
SSLCertificateFile: file '/etc/letsencrypt/live/ess-et-societe.net/fullchain.pem' does not exist or is empty
L'Apache actuellement en mémoire tourne, mais la configuration sur disque ne passe pas un configtest. Toute opération reload, restart, renouvellement certbot avec hook Apache, ou migration automatisée qui valide la conf peut échouer.
Vhosts et applications identifiés :
| Domaine | Racine | Application probable | Taille |
|---|---|---|---|
ess-et-societe.net |
/srv/sites/actu/ |
SPIP 3.2.19, redirection vers www
|
564M |
www.ess-et-societe.net |
/srv/sites/actu/ |
SPIP 3.2.19 | 564M |
chocteau.eu |
/srv/sites/chocteaudoteu/ |
SPIP 3.2.19, redirection vers www
|
208M |
www.chocteau.eu |
/srv/sites/chocteaudoteu/ |
SPIP 3.2.19 | 208M |
foad.chocteau.eu |
/srv/sites/foad/ |
SPIP 3.2.19 | 219M |
lettre.ess-et-societe.net |
/srv/sites/lettres/ |
outil de mailing PHP, version interne 2.0.5 | 593M |
poche.ess-et-societe.net |
/srv/sites/poche/web |
wallabag 2.4.3 | 314M |
groot.ess-et-societe.net |
/srv/sites/groot/ |
phpMyAdmin/sql-webui 4.9.0, auth Apache | 108M |
srv2.ess-et-societe.net |
/var/www/html/ |
vhost technique/default | non mesuré finement |
nuage.chocteau.eu |
/srv/sites/nuage/ |
racine quasi vide | 4K |
rss.chocteau.eu |
/srv/sites/rss/ |
Leed RSS 1.8.4 dev | 30M |
Permissions web notables :
-
/srv/sitesappartient globalement àwww-data:www-data. - Répertoires apache-writable détectés :
/srv/sites/foad,/srv/sites/foad/lib,/srv/sites/actu/lib,/srv/sites/chocteaudoteu/lib. -
www-dataa pour home/var/wwwet shell/bin/bash, avec un dossier.sshprésent. À reprendre plus proprement sur le nouveau serveur.
Analyse trafic/log¶
Nombre de requêtes par log Apache :
| Log | Requêtes |
|---|---|
actu |
5 661 350 |
blogsdetest |
89 428 |
chocteaudoteu |
21 876 |
lettres |
21 609 |
foad |
6 244 |
actu-test |
3 965 |
srv1 |
3 881 |
date |
2 455 |
poche |
2 439 |
groot |
2 250 |
accolade |
2 235 |
nuage |
1 844 |
equipe |
1 818 |
rss |
108 |
Lecture : actu concentre environ 97% des requêtes relevées. Les autres vhosts existent fonctionnellement, mais ne dimensionnent pas le serveur.
Répartition globale des codes de retours :
| Code | Requêtes | Lecture |
|---|---|---|
| 403 | 3 154 153 | refus très majoritaires |
| 200 | 2 239 143 | réponses utiles |
| 301 | 172 502 | redirections |
| 404 | 157 453 | absents/scans/liens morts |
| 304 | 23 863 | cache navigateur |
| 204 | 19 317 | principalement cron SPIP |
| 302 | 15 003 | redirections temporaires |
| 206 | 3 356 | réponses partielles |
| 429 | 1 230 | limitation ponctuelle |
| 401 | 1 126 | authentification |
| 500 | 1 025 | erreurs applicatives |
| 504 | 1 022 | timeouts gateway/FastCGI/proxy |
| 503 | 146 | service indisponible |
| 502 | 1 | erreur proxy/gateway |
Le volume de 403 est anormalement haut : plus de la moitié des requêtes. Ce n'est pas forcément une panne, mais cela confirme une pression de crawlers/robots et de ressources refusées.
MariaDB¶
MariaDB 10.5.13 est actif le point a voir c'est le bind 0.0.0.0.
Volume relevé :
-
/var/lib/mysql: environ 1,4G, avec permissions limitant le détail. -
/srv/db-backups: environ 1,9G.
Préconisation : dump local avec rotation sur quelques jours puis sauv
Mail sortant, relais et DKIM¶
Postfix est actif
Domaines relayés :
ess-et-societe.netchocteau.eusolinuage.fr
OpenDKIM :
- signatures configurées pour :
-
*@ess-et-societe.netavec sélecteurmail; -
*@lettre.ess-et-societe.netavec sélecteurmail; -
*@chocteau.euavec sélecteurdefault; -
*@solinuage.fravec sélecteurdefault.
-
DNS mail observé :
| Domaine | MX | SPF/DMARC |
|---|---|---|
ess-et-societe.net |
MX OVH | SPF inclut srv1, srv2, OVH; DMARC quarantine |
chocteau.eu |
MX OVH | SPF inclut MX, srv2, OVH; DMARC quarantine |
solinuage.fr |
MX OVH | SPF inclut OVH/MX; pas de DMARC trouvé, pas srv2 |
Etude log¶
Statuts Postfix relevés :
| Statut | Occurrences |
|---|---|
deferred |
428 315 |
sent |
45 582 |
bounced |
16 087 |
expired |
4 799 |
Interprétation :
- Le ratio
deferredest très élevé. Il ne s'agit pas seulement de boîtes inexistantes, mais de refus temporaires de réputation, volume ou comportement. - La migration doit tenir compte de la réputation de l'IP actuelle et de la future IP.
Éléments observés :
- Environ 15 406 lignes liées à authentification/rejets/sasl/relay checks dans l'ensemble analysé.
- Beaucoup de connexions
auth=0/1depuis des IP inconnues : tentatives d'authentification SMTP qui échouent ou clients qui testent. - Quelques
Relay access denied, ce qui est normal pour des tentatives de relais non autorisé. -
mail.errcontient des erreurs OpenDKIM anciennes et récentes sursolinuage.fr: clédefault.privateimpossible à charger,Permission denied, datées notamment du 2026-05-27.
Point important : la signature DKIM pour ess-et-societe.net est très utilisée et fonctionne dans les logs (DKIM-Signature field added). Pour solinuage.fr, il faut vérifier les droits de clé DKIM avant migration ou régénérer proprement la clé.
Pour migration :
- reprendre ou régénérer les clés DKIM ;
- mettre à jour SPF si le mail sortant part du nouveau serveur/IP ;
- configurer le reverse DNS/PTR de la nouvelle IP mail ;
- reprendre les comptes SASL si des clients utilisent le port 587.
Sauvegardes¶
Cron système :
45 4 * * * root /srv/backups/backup-sites2scw.sh
15 4 * * * root /srv/backups/backup-db2scw.sh
Mécanisme :
- dumps SQL quotidiens dans
/srv/db-backupsviamysqldump; - sauvegarde Duplicity chiffrée vers Scaleway S3/C14 ;
- source sites :
/srv/sites/; - source bases :
/srv/db-backups/; - GPG configuré par empreinte ;
- logs sous
/srv/backups/log/.
État observé le 2026-05-28 :
- les dumps SQL locaux se créent ;
- certains dumps système (
information_schema,performance_schema) échouent avec droits insuffisants, ce qui n'est pas bloquant pour la reprise métier ; - l'envoi Duplicity vers Scaleway échoue pour les sites et les bases avec
GPGError: GPG FailedetUnusable public key; - les logs indiquent
Last full backup date: none.
Point de sécurité : les scripts de sauvegarde contiennent des identifiants Scaleway en clair. Le rapport ne les reproduit pas. Ils doivent être considérés comme compromis, révoqués et remplacés.
Sécurité et durcissement constatés¶
Points défavorables :
- OS hors support.
- PHP 7.4 hors support.
- MySQL ouvert publiquement.
- SSH avec root login et mot de passe autorisés.
- Pas de Fail2ban/CrowdSec installé.
- ClamAV/Freshclam en échec.
- Apache ne passe pas le configtest.
- Plusieurs permissions web trop larges.
- Secrets de sauvegarde dans scripts lisibles.
Points favorables :
- RAID logiciel en état cohérent
[UUU]. - DKIM est en place.
- Rate limiting Postfix configuré de façon prudente.
- Monitoring OVH/RTM via
noderig/beamiumprésent, localement exposé uniquement pournoderig. - Smartmontools et mdmonitor actifs.
Dimensionnement proposé¶
Sur la base des mesures accessibles (difficile, c'est un temps T, des graph's de monitoring aurait permis d'affiner cette vue) :
- CPU actuel peu chargé : 4 vCPU modernes suffiraient probablement.
- RAM actuelle très confortable : 8 Go semblent suffisants pour Apache/PHP-FPM/MariaDB/Postfix/ISPConfig, 16 Go si l'on veut garder beaucoup de marge.
- Stockage live très faible : moins de 10 Go pour sites + bases + dumps courants, mais il faut prévoir logs, caches, préproduction, snapshots et marge.
- Le stockage actuel de 3,4 To sur
/srvest très largement surdimensionné pour la volumétrie observée.
Recommandation pragmatique :
- VPS/dédié : 4 vCPU, 8 Go RAM, 160 à 200 Go NVMe/SSD.
- Variante confortable : 4 vCPU, 16 Go RAM, 200 à 300 Go NVMe/SSD.
Un VPS peut suffire si le trafic réel Apache est modéré. Si le site principal est réellement à fort trafic ou soumis à des crawlers agressifs, choisir un VPS avec CPU garanti ou un petit dédié SSD sera plus prévisible.
Globalement pas mal de ressource matériel pour de la réponse à des bots...
A éclaircir¶
-
Quel site est à migrer ?
-
Quelle version de PHP est à installer : PHP 7.4 a minima + PHP 8.x ?
-
La connexion SSH via www-data sera proscrire sur le nouveau serveur ISPconfig, la bonne hygiène c'est un utilisateur par site et un compte SFTP / SSH dédier par site (la clé SSH peut être partout...)
-
Partie e-mail :
- solinuage.fr envoi toujours du mail ?
- Aujourd'hui c'est pour de la notification / application ?
- Est-ce satisfaisant en termes de légitimité d'émission ?
- Je me demande si j'inclus ou non la configuration mail dans ISPconfig, j'ai l'impression que ce n'est pas nécessaire...
- Est-ce qu'il y a de l'authentification SMTP dans les apps ou c'est "localhost" sans rien d'autre ?
-
Pour la migration / les test, il me faudra la main sur la zone DNS (ajouter les SPF...)
-
Il me faudra une adresse "admin" pour les notifications d'erreur, échec de tâche cron... ça permet d'être pro-actif
-
IPv6 pour le web ?
-
Gestion de la sauvegarde ? Qui ?
-
Config particulière PHP pour les applicatifs ? limit_memory, post_max_size et compagnie...
Réponse :¶
- Quel site : liste fournie ~4
- Attention Nextcloud dans le futur mais peu de data
- PHP plusieurs version (7.3 ? 7.4 8.0 8.3 8.4) liste fournie
- Guillaume remet son script rclone
- Pas d'IMAP, pas de DNS...
- PHPmyAdmin paquet debian (pour éviter trop de maintenance) + sécurité htpassword
- IPv6 OUI (web+ssh)
- Port SSH sur un autre (plus que 1024)
- PHP : reprendre conf actuel
- Captcha hors UE
- Mail : peut être prestataire externe.. a voir...
Mis à jour par David Mercereau il y a environ 12 heures · 5 révisions