Wiki » Historique » Révision 11
« Précédent |
Révision 11/21
(diff)
| Suivant »
David Mercereau, 04/07/2026 11:46
Wiki¶
- Audit Serveur existant
Nouveau serveur¶
Résumé des accès
SSH¶
- Port : 4422
- IP ! 51.210.149.44
ISPconfig¶
Panel : https://vps-aabafbfe.vps.ovh.net:8080/
Utilisateur : admin (full privilège)
Mot de passe : https://pastebin.retzo.net/?29aa769fb838214c#J9bxW7ZGDJgaNompRpoT4io1znQ4wQRQUgQmsiTZnk9J (expiration dans 1 an)
Munin (monitoring)¶
Accès : https://https://vps-aabafbfe.vps.ovh.net:8080/munin/
- Utilisateur : guillaume
- Mot de passe : https://pastebin.retzo.net/?5357a30134f2d65c#Gcyxt7ao7CTn7dHZMDrTJTjrNSH6aKeXcvxydcq7iAG9
Gestion authentification¶
Ajouter un autre utilisateur :
htpasswd /etc/admin-htpassword autre_utilisateur
Supprimer un utilisateur :
htpasswd -D /etc/admin-htpassword autre_utilisateur
PhpMyAdmin¶
Note : même couche d'authentification que munin, même identifiants... voir plus haut. (phpmyadmin est très attaqué...)
Accès : https://vps-aabafbfe.vps.ovh.net:8080/phpmyadmin/
Utilisateur : root (full priviège)
Mot de passe : https://pastebin.retzo.net/?4a5dbd6c6c7ade9a#2LCQ9xbTSzZacBePgbbveVVgUtqoLTcRXzSzc2VzH9hE (expiration dans 1 an)
Gestion des autres accès via ISPconfig
Accès mysql extérieur fermé firewall (géré via ispconfig dans système)
Sécurité¶
Firewall utilisé via ISPconfig (Système, Pare-Feu)
Pot de miel afin d'éviter le scan (blacklist des IP qui tente de se connecter à ces ports :
TCP : 22,23,81,111,135,139,445,1080,1433,1521,3307,3389,5900,8082,8443,31337
UDP : 19,69,111,135,137,161,162,500,1434,1900,5060,11211,31337
Attention le port 22 est dans la liste....
Crowdsec¶
Blacklist des IP selon leur comportement (analyse de log)
Une liste blanche est ajoutée ici : /etc/crowdsec/parsers/s02-enrich/local-admin-whitelist.yaml (après ajout faire un systemctl restart crowdsec)
Scénario en œuvre
crowdsecurity/apache2crowdsecurity/base-http-scenarioscrowdsecurity/http-cvecrowdsecurity/linuxcrowdsecurity/sshdfulljackz/pureftpdcrowdsecurity/whitelist-good-actorscrowdsecurity/dovecotcrowdsecurity/postfixcrowdsecurity/mariadbcrowdsecurity/mysql
Voir l'etat :
cscli metrics
cscli alerts list
cscli decisions list
Bannir ou debannir manuellement :
cscli decisions add --ip X.X.X.X --duration 4h --reason "manual test"
cscli decisions delete --ip X.X.X.X
Scénarios dédier à SPIP
- /etc/crowdsec/scenarios/retzo-http-spip-login-post.yaml
- /etc/crowdsec/scenarios/retzo-http-spip-login-get-probing.yaml
Pour SPIP, CrowdSec bannit l’IP après 5 tentatives de connexion POST vers une page de login en moins de 10 minutes ; les simples accès répétés en GET aux pages de login sont traités comme du scan et déclenchent un bannissement après 30 accès en moins de 10 minutes.
Mis à jour par David Mercereau il y a 9 jours · 21 révisions