Wiki » Historique » Révision 12
Révision 11 (David Mercereau, 04/07/2026 11:46) → Révision 12/21 (David Mercereau, 04/07/2026 12:06)
# Wiki * [[Audit]] Serveur existant ## Nouveau serveur Résumé des accès ### SSH * Port : 4422 * IP ! 51.210.149.44 ### ISPconfig Panel : https://vps-aabafbfe.vps.ovh.net:8080/ Utilisateur : admin (full privilège) Mot de passe : https://pastebin.retzo.net/?29aa769fb838214c#J9bxW7ZGDJgaNompRpoT4io1znQ4wQRQUgQmsiTZnk9J (expiration dans 1 an) ### Munin (monitoring) Accès : https://https://vps-aabafbfe.vps.ovh.net:8080/munin/ * Utilisateur : guillaume * Mot de passe : https://pastebin.retzo.net/?5357a30134f2d65c#Gcyxt7ao7CTn7dHZMDrTJTjrNSH6aKeXcvxydcq7iAG9 #### Gestion authentification Ajouter un autre utilisateur : ```bash htpasswd /etc/admin-htpassword autre_utilisateur ``` Supprimer un utilisateur : ```bash htpasswd -D /etc/admin-htpassword autre_utilisateur ``` ### PhpMyAdmin Note : même couche d'authentification que munin, même identifiants... voir plus haut. (phpmyadmin est très attaqué...) Accès : https://vps-aabafbfe.vps.ovh.net:8080/phpmyadmin/ Utilisateur : root (full priviège) Mot de passe : https://pastebin.retzo.net/?4a5dbd6c6c7ade9a#2LCQ9xbTSzZacBePgbbveVVgUtqoLTcRXzSzc2VzH9hE (expiration dans 1 an) Gestion des autres accès via ISPconfig Accès mysql extérieur fermé firewall (géré via ispconfig dans système) ## Sécurité Firewall utilisé via ISPconfig (Système, Pare-Feu) Pot de miel afin d'éviter le scan (blacklist des IP qui tente de se connecter à ces ports : ``` TCP : 22,23,81,111,135,139,445,1080,1433,1521,3307,3389,5900,8082,8443,31337 UDP : 19,69,111,135,137,161,162,500,1434,1900,5060,11211,31337 ``` Attention le port 22 est dans la liste.... ### Crowdsec Blacklist des IP selon leur comportement (analyse de log) Une liste blanche est ajoutée ici : /etc/crowdsec/parsers/s02-enrich/local-admin-whitelist.yaml (après ajout faire un systemctl restart crowdsec) Scénario en œuvre - `crowdsecurity/apache2` - `crowdsecurity/base-http-scenarios` - `crowdsecurity/http-cve` - `crowdsecurity/linux` - `crowdsecurity/sshd` - `fulljackz/pureftpd` - `crowdsecurity/whitelist-good-actors` - `crowdsecurity/dovecot` - `crowdsecurity/postfix` - `crowdsecurity/mariadb` - `crowdsecurity/mysql` Voir l'etat : ```bash cscli metrics cscli alerts list cscli decisions list ``` Bannir ou debannir manuellement : ```bash cscli decisions add --ip X.X.X.X --duration 4h --reason "manual test" cscli decisions delete --ip X.X.X.X ``` Scénarios dédier à SPIP - /etc/crowdsec/scenarios/retzo-http-spip-login-post.yaml - /etc/crowdsec/scenarios/retzo-http-spip-login-get-probing.yaml Pour SPIP, CrowdSec bannit l’IP après 5 tentatives de connexion POST vers une page de login en moins de 10 minutes ; les simples accès répétés en GET aux pages de login sont traités comme du scan et déclenchent un bannissement après 30 accès en moins de 10 minutes. ### Crowdsec CAPTCHA hors UE Pour désactiver le captcha hors UE ça sur certains sites (cela peut poser problème sur certain script PHP) il faut aller dans “Options” du site ispconfig, dans "Paramètre PHP ini" ajouter : ``` auto_prepend_file = "" ```