Skip to content

Latest commit

 

History

History
71 lines (38 loc) · 4.45 KB

README.md

File metadata and controls

71 lines (38 loc) · 4.45 KB

Avec l'aimable contribution de SwartZCoding, GaetanOff, RayxiO, adrgaspard, CerealesMC, Alexmdz77 et Comore

Liste des conseils

Infrastructure

  • Avoir un proxy (e.g. BungeeCord ou Velocity) dédié uniquement aux administrateurs, en plus du principal dédié uniquement aux joueurs (donc bloquer également les administrateurs sur le proxy joueur !!) ;

  • Faire des backups incrémentales sur un serveur annexe et également sur un object storage (e.g. S3 (voire même S3 Glacier), GCS, Scaleway Object Storage), Borgbackup fait très bien le boulot (settings que j'utilisais : 1 backup/heure, 2 backups/jour, 1 backup/semaine et 1 backup/mois) ;

  • Pour éviter les attaques de bots, n'hésitez pas à ne whitelister que les adresses de pays francophones sur IPTables ;

  • Si vous avez les compétences pour, s'orienter vers les services d'AWS (e.g. CloudFront) plutôt que d'utiliser l'offre gratuite de Cloudflare, qui est pas fofolle ;

  • Bloquer le scan de port avec IPTables ;

  • Ouvrir les ports de vos serveurs MC UNIQUEMENT au proxy ;

  • Utiliser le firewall d'OVH si possible (e.g. firewall d'OVH + IPTables seulement pour gérer tout ce qui est bots, ...) ;

  • Utiliser IPSet pour bannir de longues listes d'adresses IP ;

  • Installer et configurer PortSentry en mode avancé de façon à ce qu'il blacklist les adresses IPs détectées ;

  • Bloquer les paquets de netcat et curl ;

  • Éviter d'utiliser des solutions à la phpMyAdmin, ou limiter leur accès via un VPN ou une authentification sur la page ;

  • Ouvrir en général l'accès aux dashboards admins (e.g. panel administrateur de votre site, Pterodactyl, ...) en tout genre seulement via un VPN.

  • Externaliser vos services au maximum sur des machines annexes, ne pas tout mettre sur la même machine (e.g. bases de données) ;

  • Limiter le plus possible les accès à vos machines.

En jeu

  • Avoir un plugin de double authentification sur votre serveur de jeu !!.

  • Bloquer la permission * sur le serveur (e.g. LuckPerms le permet) ;

  • Avoir un plugin qui bannit automatiquement tout compte non-autorisé d'être en gamemode créatif, d'être OP, ... ;

  • Autoriser l'exécution des commandes de votre plugin de permission UNIQUEMENT par votre console ;

  • Désactiver l'OP dans votre server.properties ;

  • Bien limiter les permissions en jeu que vous donnez à votre équipe (voire même à votre compte), ne pas donner la permission * à tout va si vous ne la bloquez pas ;

  • Bien mettre un système d'authentification, même sur vos serveurs de développement ;

  • Avant votre ouverture, vérifier chaque PNJ intéractif sur votre serveur, chaque zone WorldGuard et vérifier également les permissions qu'ont tous les joueurs de votre serveur ;

  • Bien mettre à jour vos plugins régulièrement ;

  • Se renseigner sur les malwares qui traînent (e.g. vmd-gnu) et vérifier que vous n'êtes pas concernés ;

  • Ne pas activer l'extension JS de PlaceholderAPI ;

  • Bloquer les commandes suivantes :

    • /fill ;
    • //sphere ;
    • /bc ;
    • /execute ;
  • Être un administrateur de serveur responsable et ne pas utiliser de plugins nulled (probabilité très forte d'avoir une connerie dedans) ;

  • Utiliser Xcord OU LPX, mais pas les deux en même temps à cause d'incompatibilités entre les deux ;

  • Tester vos plugins "custom" DE FOND EN COMBLE pour éviter les surprises lors de votre ouverture.

  • Impérativement mettre à jour vos plugins. Je prend exemple sur l'anti-cheat Vulcan qui a eu une CVE importante