2007-05-25T08:36:48Z

Ioio, tu ne comprends pas ? Je m'en vais t'expliquer.
yOm passe tellement de temps sur son Q... mail à tenter de le faire fonctionner qu'il n'a plus le temps à faire autre chose y compris passer sur Andesi.

LeDub qui le 7 devra une bière à son yOm pour se faire pardonner.

2007-05-25T08:05:55Z

y0m a écrit :

...Mais le mail ca me rassure tellement..

A force de faire des cochoneries avec qmail...

L'amour rend aveugle

2007-05-24T15:38:12Z

ustilago a écrit :

Ou le flux rss : http://www.nl.debian.org/security/dsa-long.fr.rdf

Un de ces jours faudra que je me mette a ces technologies du futur. Mais le mail ca me rassure tellement..

2007-05-24T15:24:19Z

Ou le flux rss : http://www.nl.debian.org/security/dsa-long.fr.rdf

2007-05-24T15:00:57Z

ayyoub a écrit :

Ce serveur va héberger 3 sites web .
Les composants installés sont (apache2 /php5/mysql/bind/postfix/vsftpd).
Les accès au site web se feront en http (port :80)
L'administration du serveur en ssh.
Mes questions sont les suivantes :
-Comment sécuriser au max un serveur web ?

Quelques pistes :
* Utiliser php5-suhosin
* Utiliser php5-fastcgi et faire tourner chaque site sous des UID non-privilegies (pas de shell, aucun acces a rien d'autre que la racine du site)
* Decharger tous les modules apache qui ne te servent pas
* Meme chose pour les modules php5
* MySQL doit binder 127.0.0.1 uniquement, c'est surement la conf par defaut mais verifie quand meme.
* Inscris-toi a la mailing-list debian-security-announce et applique les patches de securite sans jamais trop tarder.

Voila, avec ca ton serveur ne sera probablement pas securise "au max" mais tu pourras quand meme dormir relativement tranquille.

ayyoub a écrit :

-le script (trouvé sur le net) ci-dessous peut-il convenir à ma config ?

A priori tu n'as besoin d'ouvrir que les ports 21/22/25/53/80, ton script en ouvre un peu plus, dont des ports qui ne servent a rien (personne ne va interroger ta machine en NTP j'imagine). Fais un peu de menage.

2007-05-23T08:08:32Z

Bonjour,

C'est vrai que si tu gères la machine en ssh, autant utiliser sftp (un ftp-like fournit avec ssh, Gftp ou Filezilla gèrent ce protocole).

2007-05-22T18:17:52Z

Salut, et bienvenue,

Mes réflexions à chaud :
* Pourquoi installer un serveur FTP si le serveur est administré en SSH ? Même s'il s'agit de vsftpd, installer un service inutile est potentiellement dangereux, surtout dans le cas d'un FTP.
* Fermer des ports est une bonne chose, mais n'est pas suffisant (je n'ai pas lu ton script).
* Tu ne nous dis pas qui va gérer les sites web hébergés : toi ? Un client ? Le niveau de la sécurité d'un système est toujours égal à celui de son maillon le plus faible, un script PHP mal sécurisé installé par un site hébergé, et tout ce que tu peux mettre en place comme sécurité peut sauter !

D'une façon plus générale, je dirais qu'il faut travailler sur le système dans son ensemble : noyau monolithique, PAM, SELinux, droits divers etc....

PS: Tu remarqueras un message subliminal subtilement caché dans la phrase précédente...

@++
Julien

2007-05-22T16:49:27Z

Salut et bienvenue,

La sécurité est un vaste programme et la moindre petite aspérité le long de la façade peut se transformer en trou béant.

Dans un premier temps, tu peux toujours regarder du coté de ces documents
http://www.debian.org/doc/manuals/secur … ex.fr.html
http://www.linuxsecurity.com/resource_f … ex.en.html
http://linux.developpez.com/cours/securedeb/ tuto qui parle de Woody mais qui peut facilement être adaptable à Etch

Sinon il faut se tenir au courant des dernières vulnérabilités pour les éviter, et donc, au moins, mettre à jour ta distrib le plus souvent possible.

Enfin, tu peux aller sur des sites de "non-securité", on y apprend beaucoup de chose quand on tombe sur les bons.

Sinon pour ton script, perso, je n'ai pas trop le temps de le regarder tout de suite.

Tihz qui adore parler de sécurité mais qui ne sais jamais quoi répondre quand on lui demande comment sécurisé quelque chose.

2007-05-22T11:40:52Z

ayyoub, désolé de ne pouvoir te répondre mais par ma petite prose, je tiens à te souhaiter la bienvenue dans l'antre de la folie Debiano-Linuxienne ou Lunixo-Debianesque

LeDub dit l'ancêtre ou maître dans les murs d'Andesi.

2007-05-22T09:50:31Z

Bonjour,

Je viens de faire l'installation d'un serveur dédié (chez un hébergeur) sous Debian 4.

Ce serveur va héberger 3 sites web .
Les composants installés sont (apache2 /php5/mysql/bind/postfix/vsftpd).
Les accès au site web se feront en http (port :80)
L'administration du serveur en ssh.

Mes questions sont les suivantes :

-Comment sécuriser au max un serveur web ?
-le script (trouvé sur le net) ci-dessous peut-il convenir à ma config ?

#!/bin/bash
echo Setting firewall rules...
#
# config de base dedibox
# Florian Cristina
#

###### Debut Initialisation ######

# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

# Interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
echo - Autoriser SSH : [OK]

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

###### Fin Inialisation ######

##### Debut Regles ######

# Autoriser les requetes DNS, FTP, HTTP, NTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, FTP, HTTP, NTP : [OK]

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]

# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

# Mail
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser serveur Mail : [OK]

###### Fin Regles ######

echo Firewall mis a jour avec succes !

Merci pour vos réponses...