Comment securiser un serveur Web

ayyoub · 22/05/2007 11:50:31

Bonjour,

Je viens de faire l'installation d'un serveur dédié (chez un hébergeur) sous Debian 4.

Ce serveur va héberger 3 sites web .
Les composants installés sont (apache2 /php5/mysql/bind/postfix/vsftpd).
Les accès au site web se feront en http (port :80)
L'administration du serveur en ssh.

Mes questions sont les suivantes :

-Comment sécuriser au max un serveur web ?
-le script (trouvé sur le net) ci-dessous peut-il convenir à ma config ?

#!/bin/bash
echo Setting firewall rules...
#
# config de base dedibox
# Florian Cristina
#

###### Debut Initialisation ######

# Interdire toute connexion entrante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

# Interdire toute connexion sortante
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

# Autoriser SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
echo - Autoriser SSH : [OK]

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]

###### Fin Inialisation ######

##### Debut Regles ######

# Autoriser les requetes DNS, FTP, HTTP, NTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Autoriser les requetes DNS, FTP, HTTP, NTP : [OK]

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]

# FTP
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

# Mail
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Autoriser serveur Mail : [OK]

###### Fin Regles ######

echo Firewall mis a jour avec succes !

Merci pour vos réponses...

ledub · 22/05/2007 13:40:52

ayyoub, désolé de ne pouvoir te répondre mais par ma petite prose, je tiens à te souhaiter la bienvenue dans l'antre de la folie Debiano-Linuxienne ou Lunixo-Debianesque

LeDub dit l'ancêtre ou maître dans les murs d'Andesi.

Tihz · 22/05/2007 18:49:27

Salut et bienvenue,

La sécurité est un vaste programme et la moindre petite aspérité le long de la façade peut se transformer en trou béant.

Dans un premier temps, tu peux toujours regarder du coté de ces documents
http://www.debian.org/doc/manuals/secur … ex.fr.html
http://www.linuxsecurity.com/resource_f … ex.en.html
http://linux.developpez.com/cours/securedeb/ tuto qui parle de Woody mais qui peut facilement être adaptable à Etch

Sinon il faut se tenir au courant des dernières vulnérabilités pour les éviter, et donc, au moins, mettre à jour ta distrib le plus souvent possible.

Enfin, tu peux aller sur des sites de "non-securité", on y apprend beaucoup de chose quand on tombe sur les bons.

Sinon pour ton script, perso, je n'ai pas trop le temps de le regarder tout de suite.

Tihz qui adore parler de sécurité mais qui ne sais jamais quoi répondre quand on lui demande comment sécurisé quelque chose.

braouazou · 22/05/2007 20:17:52

Salut, et bienvenue,

Mes réflexions à chaud :
* Pourquoi installer un serveur FTP si le serveur est administré en SSH ? Même s'il s'agit de vsftpd, installer un service inutile est potentiellement dangereux, surtout dans le cas d'un FTP.
* Fermer des ports est une bonne chose, mais n'est pas suffisant (je n'ai pas lu ton script).
* Tu ne nous dis pas qui va gérer les sites web hébergés : toi ? Un client ? Le niveau de la sécurité d'un système est toujours égal à celui de son maillon le plus faible, un script PHP mal sécurisé installé par un site hébergé, et tout ce que tu peux mettre en place comme sécurité peut sauter !

D'une façon plus générale, je dirais qu'il faut travailler sur le système dans son ensemble : noyau monolithique, PAM, SELinux, droits divers etc....

PS: Tu remarqueras un message subliminal subtilement caché dans la phrase précédente...

@++
Julien

armen · 23/05/2007 10:08:32

Bonjour,

C'est vrai que si tu gères la machine en ssh, autant utiliser sftp (un ftp-like fournit avec ssh, Gftp ou Filezilla gèrent ce protocole).

y0m · 24/05/2007 17:00:57

ayyoub a écrit :

Ce serveur va héberger 3 sites web .
Les composants installés sont (apache2 /php5/mysql/bind/postfix/vsftpd).
Les accès au site web se feront en http (port :80)
L'administration du serveur en ssh.
Mes questions sont les suivantes :
-Comment sécuriser au max un serveur web ?

Quelques pistes :
* Utiliser php5-suhosin
* Utiliser php5-fastcgi et faire tourner chaque site sous des UID non-privilegies (pas de shell, aucun acces a rien d'autre que la racine du site)
* Decharger tous les modules apache qui ne te servent pas
* Meme chose pour les modules php5
* MySQL doit binder 127.0.0.1 uniquement, c'est surement la conf par defaut mais verifie quand meme.
* Inscris-toi a la mailing-list debian-security-announce et applique les patches de securite sans jamais trop tarder.

Voila, avec ca ton serveur ne sera probablement pas securise "au max" mais tu pourras quand meme dormir relativement tranquille.

ayyoub a écrit :

-le script (trouvé sur le net) ci-dessous peut-il convenir à ma config ?

A priori tu n'as besoin d'ouvrir que les ports 21/22/25/53/80, ton script en ouvre un peu plus, dont des ports qui ne servent a rien (personne ne va interroger ta machine en NTP j'imagine). Fais un peu de menage.

ustilago · 24/05/2007 17:24:19

Ou le flux rss : http://www.nl.debian.org/security/dsa-long.fr.rdf

y0m · 24/05/2007 17:38:12

ustilago a écrit :

Ou le flux rss : http://www.nl.debian.org/security/dsa-long.fr.rdf

Un de ces jours faudra que je me mette a ces technologies du futur. Mais le mail ca me rassure tellement..

ioguix · 25/05/2007 10:05:55

y0m a écrit :

...Mais le mail ca me rassure tellement..

A force de faire des cochoneries avec qmail...

L'amour rend aveugle

ledub · 25/05/2007 10:36:48

Ioio, tu ne comprends pas ? Je m'en vais t'expliquer.
yOm passe tellement de temps sur son Q... mail à tenter de le faire fonctionner qu'il n'a plus le temps à faire autre chose y compris passer sur Andesi.

LeDub qui le 7 devra une bière à son yOm pour se faire pardonner.

Andesi - forum

#1 22/05/2007 11:50:31

Comment securiser un serveur Web

#2 22/05/2007 13:40:52

Re : Comment securiser un serveur Web

#3 22/05/2007 18:49:27

Re : Comment securiser un serveur Web

#4 22/05/2007 20:17:52

Re : Comment securiser un serveur Web

#5 23/05/2007 10:08:32

Re : Comment securiser un serveur Web

#6 24/05/2007 17:00:57

Re : Comment securiser un serveur Web

#7 24/05/2007 17:24:19

Re : Comment securiser un serveur Web

#8 24/05/2007 17:38:12

Re : Comment securiser un serveur Web

#9 25/05/2007 10:05:55

Re : Comment securiser un serveur Web

#10 25/05/2007 10:36:48

Re : Comment securiser un serveur Web

Pied de page des forums