Projet

Général

Profil

Wiki » Historique » Révision 10

Révision 9 (David Mercereau, 04/07/2026 10:59) → Révision 10/21 (David Mercereau, 04/07/2026 11:07)

# Wiki 

 * [[Audit]] Serveur existant 

 ## Nouveau serveur 

 Résumé des accès 

 ### SSH 

 * Port : 4422 
 * IP ! 51.210.149.44 

 ### ISPconfig 

 Panel : https://vps-aabafbfe.vps.ovh.net:8080/ 
 Utilisateur : admin (full privilège) 
 Mot de passe : https://pastebin.retzo.net/?29aa769fb838214c#J9bxW7ZGDJgaNompRpoT4io1znQ4wQRQUgQmsiTZnk9J (expiration dans 1 an) 

 ### Munin (monitoring) 

 Accès : https://https://vps-aabafbfe.vps.ovh.net:8080/munin/ 
 * Utilisateur : guillaume 
 * Mot de passe : https://pastebin.retzo.net/?5357a30134f2d65c#Gcyxt7ao7CTn7dHZMDrTJTjrNSH6aKeXcvxydcq7iAG9  

 #### Gestion authentification 

 Ajouter un autre utilisateur : 

 ```bash 
 htpasswd /etc/admin-htpassword autre_utilisateur 
 ``` 

 Supprimer un utilisateur : 

 ```bash 
 htpasswd -D /etc/admin-htpassword autre_utilisateur 
 ``` 

 ###    PhpMyAdmin 

 Note : même couche d'authentification que munin, même identifiants... voir plus haut. (phpmyadmin est très attaqué...) 

 Accès : https://vps-aabafbfe.vps.ovh.net:8080/phpmyadmin/ 
 Utilisateur : root (full priviège) 
 Mot de passe : https://pastebin.retzo.net/?4a5dbd6c6c7ade9a#2LCQ9xbTSzZacBePgbbveVVgUtqoLTcRXzSzc2VzH9hE (expiration dans 1 an) 

 Gestion des autres accès via ISPconfig 

 Accès mysql extérieur fermé firewall (géré via ispconfig dans système) 

 ## Sécurité 

 Firewall utilisé via ISPconfig (Système, Pare-Feu) 

 Pot de miel afin d'éviter le scan (blacklist des IP qui tente de se connecter à ces ports :  
 ``` 
   TCP :    22,23,81,111,135,139,445,1080,1433,1521,3307,3389,5900,8082,8443,31337 
   UDP :     19,69,111,135,137,161,162,500,1434,1900,5060,11211,31337 
 ``` 
 Attention le port 22 est dans la liste.... 

  

 ### Crowdsec 

 Blacklist des IP selon leur comportement (analyse de log) 

 Une liste blanche est ajoutée ici : /etc/crowdsec/parsers/s02-enrich/local-admin-whitelist.yaml (après ajout faire un systemctl restart crowdsec) 

 Scénario en œuvre 
 - `crowdsecurity/apache2` 
 - `crowdsecurity/base-http-scenarios` 
 - `crowdsecurity/http-cve` 
 - `crowdsecurity/linux` 
 - `crowdsecurity/sshd` 
 - `fulljackz/pureftpd` 
 - `crowdsecurity/whitelist-good-actors` 
 - `crowdsecurity/dovecot` 
 - `crowdsecurity/postfix` 
 - `crowdsecurity/mariadb` 
 - `crowdsecurity/mysql` 

 Voir l'etat : 

 ```bash 
 cscli metrics 
 cscli alerts list 
 cscli decisions list 
 ``` 

 Bannir ou debannir manuellement : 

 ```bash 
 cscli decisions add --ip X.X.X.X --duration 4h --reason "manual test" 
 cscli decisions delete --ip X.X.X.X 
 ```