Wiki » Historique » Révision 11
Révision 10 (David Mercereau, 04/07/2026 11:07) → Révision 11/21 (David Mercereau, 04/07/2026 11:46)
# Wiki
* [[Audit]] Serveur existant
## Nouveau serveur
Résumé des accès
### SSH
* Port : 4422
* IP ! 51.210.149.44
### ISPconfig
Panel : https://vps-aabafbfe.vps.ovh.net:8080/
Utilisateur : admin (full privilège)
Mot de passe : https://pastebin.retzo.net/?29aa769fb838214c#J9bxW7ZGDJgaNompRpoT4io1znQ4wQRQUgQmsiTZnk9J (expiration dans 1 an)
### Munin (monitoring)
Accès : https://https://vps-aabafbfe.vps.ovh.net:8080/munin/
* Utilisateur : guillaume
* Mot de passe : https://pastebin.retzo.net/?5357a30134f2d65c#Gcyxt7ao7CTn7dHZMDrTJTjrNSH6aKeXcvxydcq7iAG9
#### Gestion authentification
Ajouter un autre utilisateur :
```bash
htpasswd /etc/admin-htpassword autre_utilisateur
```
Supprimer un utilisateur :
```bash
htpasswd -D /etc/admin-htpassword autre_utilisateur
```
### PhpMyAdmin
Note : même couche d'authentification que munin, même identifiants... voir plus haut. (phpmyadmin est très attaqué...)
Accès : https://vps-aabafbfe.vps.ovh.net:8080/phpmyadmin/
Utilisateur : root (full priviège)
Mot de passe : https://pastebin.retzo.net/?4a5dbd6c6c7ade9a#2LCQ9xbTSzZacBePgbbveVVgUtqoLTcRXzSzc2VzH9hE (expiration dans 1 an)
Gestion des autres accès via ISPconfig
Accès mysql extérieur fermé firewall (géré via ispconfig dans système)
## Sécurité
Firewall utilisé via ISPconfig (Système, Pare-Feu)
Pot de miel afin d'éviter le scan (blacklist des IP qui tente de se connecter à ces ports :
```
TCP : 22,23,81,111,135,139,445,1080,1433,1521,3307,3389,5900,8082,8443,31337
UDP : 19,69,111,135,137,161,162,500,1434,1900,5060,11211,31337
```
Attention le port 22 est dans la liste....
### Crowdsec
Blacklist des IP selon leur comportement (analyse de log)
Une liste blanche est ajoutée ici : /etc/crowdsec/parsers/s02-enrich/local-admin-whitelist.yaml (après ajout faire un systemctl restart crowdsec)
Scénario en œuvre
- `crowdsecurity/apache2`
- `crowdsecurity/base-http-scenarios`
- `crowdsecurity/http-cve`
- `crowdsecurity/linux`
- `crowdsecurity/sshd`
- `fulljackz/pureftpd`
- `crowdsecurity/whitelist-good-actors`
- `crowdsecurity/dovecot`
- `crowdsecurity/postfix`
- `crowdsecurity/mariadb`
- `crowdsecurity/mysql`
Voir l'etat :
```bash
cscli metrics
cscli alerts list
cscli decisions list
```
Bannir ou debannir manuellement :
```bash
cscli decisions add --ip X.X.X.X --duration 4h --reason "manual test"
cscli decisions delete --ip X.X.X.X
```
Scénarios dédier à SPIP
- /etc/crowdsec/scenarios/retzo-http-spip-login-post.yaml
- /etc/crowdsec/scenarios/retzo-http-spip-login-get-probing.yaml
Pour SPIP, CrowdSec bannit l’IP après 5 tentatives de connexion POST vers une page de login en moins de 10 minutes ; les simples accès répétés en GET aux pages de login sont traités comme du scan et déclenchent un bannissement après 30 accès en moins de 10 minutes.