PDA

Afficher la version complète : Serveur sur son poste Linux



krystyan
18/12/2006, 04h19
Salux,

J'ai souvent lu qu'il est mieux, pour raisons de sécurité, de mettre un serveur web sur un autre poste que celui qu'on utilise avec sa distribution linux mais je n'ai jamais vu de cas qui explique un problème que cela peux causer.

Dès l'installation de OpenSuSE on peux choisir d'installer un serveur LAMP sur sa distribution et après quelques réglages il est très fonctionnel. Quand es-t-il des problèmes de sécurité relié à cette installation?

Dans mon cas le serveur n'est pas destiné à un site important, c'est surtout pour tester mes propres pages php et pour une utilisation entre ami, il n'y aura pas un gros trafic sur mon site.

Je voudrais en savoir plus sur les réglages qu'on peux faire pour éviter les possibiltés d'intrusions et de prises d'informations sur le système.

oh!rocks
18/12/2006, 05h33
J'installe systématiquement un serveur local et je n'ai JAMAIS eu le moindre problème !
Et ce sans jamais rien configurer ... et surtout pas un pare-feu auquel je ne comprends strictement rien !

Aussi, je ne ferme jamais ni ma voiture, ni ma maison ... peut-être une question de chance ?

Je ne me suis intéressé aux réglages d'un pare-feu que depuis peu, et encore était-ce par besoin d'un service "interne" (IPP).

J'ai privilégié la sauvegarde (DD dédié plus archivage CD) et des parttions séparées pour les données, les fichiers de conf (/home), le système (/), le serveur (/srv).

Ceci dit, si un jour un pirate s'intéresse à mon cas, il va se régaler ...

à plus,

oh!rocks

krystyan
18/12/2006, 06h28
J'installe systématiquement un serveur local et je n'ai JAMAIS eu le moindre problème !
Et ce sans jamais rien configurer ... et suttout pas un pare-feu auquel je ne comprends strictement rien ![/b]

Sur Suse le pare-feu est là par défaut dès l'install,

Quelqu'un qui se logue sur l'ip de la machine n'a aucun privilèges root ou users;

Les /home sont verrouillé en lecture-écriture;

Il ne s'agit pas de s'en remettre à la chance mais de savoir s'il existe une faille à ce système.

Tuxie
18/12/2006, 11h22
J'ai souvent lu qu'il est mieux, pour raisons de sécurité, de mettre un serveur web sur un autre poste que celui qu'on utilise avec sa distribution linux mais je n'ai jamais vu de cas qui explique un problème que cela peux causer.[/b]

En fait, ce conseil est surtout valable si tu utilises beaucoup le poste en question pour autre chose que le serveur. Par exemple, si tu passes ton temps sur Internet pendant que le serveur est en fonction, un pirate peut plus facilement exploiter une faille de sécurité du système. Bon, d'accord, elles ne sont pas nombreuses (pas autant que sous Windows) mais...

tyrtamos
18/12/2006, 14h41
Bonjour,

Chacun peut avoir une vision différente du risque, mais le risque existe. Il peut être évalué un peu comme le risque de cambriolage: il est impossible d'empêcher un cambrioleur de rentrer, mais on peut lui rendre la tâche tellement difficile que la plupart des cambrioleurs iront ailleurs...

Pour un serveur professionnel (serveur de production), il s'agit surtout d'un risque commercial et économique.

Pour un amateur, le piratage du serveur n'est pas grave s'il se contente de la destruction du serveur. C'est déjà plus embêtant si le pirate accède au reste du réseau local et commet des dégats. Mais le vrai risque arrive si le pirate utilise la machine pour relayer des actions illégales, car les conséquences peuvent être pénales: hébergement de faux sites bancaires, diffusion d'images pédophiles, diffusion de spams, attaques DOS, etc... Ne croyez pas que ce risque soit nul: ça arrive tous les jours, y compris à des sites professionnels protégés. Exemple concret récent: http://www.edelweisshosting.net/index.php/...c,3139.msg22246 (http://www.edelweisshosting.net/index.php/topic,3139.msg22246).

La conséquence, pour moi, est qu'un serveur web d'amateur situé sur la machine "normale" avec un linux graphique ne peut être branché en permanence sur internet. Mais il suffit d'ouvrir ou de fermer le port 80 sur le parefeu du routeur pour activer ou non l'accès par internet. Il faut aussi examiner les fichiers log souvent pour vérifier qu'il n'y a rien d'anormal. Jusqu'à présent, c'est comme ça que je travaille et j'ai même fait un tuto dans ce sens (http://linux.jpvweb.com/serveurwebperso.html et dans le wiki).

Jusqu'à présent, pour avoir un serveur web sécurisé branché en permanence sur internet, il fallait une machine dédiée avec un linux non-graphique et toutes les mesures de sécurité. Actuellement, je travaille sur une solution alternative intéressante: Sur la machine normale, on installe vmware sur le linux de base, et on installe sur vmware un autre linux comme OS invité. Ces 2 linux fonctionnent en même temps sur la même machine. Le linux serveur "invité" travaille dans une "coquille étanche" et peut être branché sur internet en permanence avec tous les dispositifs de sécurité. Ce procédé, qui s'appelle "virtualisation" commence à se voir chez les hébergeurs professionnels. Il y a un tuto dans le wiki pour vmware.

En tout ca, chez moi, j'ai quelques raisons d'être méfiant: quand j'ouvre mon parefeu, j'ai une détection d'intrusion dans les 15 secondes...

Tyrtamos

adminlinux
18/12/2006, 14h58
Le risque le plus faible que tu puisse mètre en place, c'est de couper la connections internet... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif