PDA

Afficher la version complète : Sécurisation d'un serveur Apache



Copernicus_ThebigNewbie
22/08/2007, 09h49
Un lien qui pourrait être intérressant pour ceux et celle qui font tourner un server Apache à la maison http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif


http://www.cgsecurity.org/Articles/apache.html

thveillon
22/08/2007, 12h06
Bon lien, une fois tout ça mis en oeuvre il reste à installer quelques outils de contrôle sur la machine hôte (analyse des log), à mettre en place un détecteur de portscan (portsentry...) et éventuellement à chrooter son serveur apache (ça n'est pas une soluiton magique mais en cas de compromission le retour en ligne est plus rapide). L'utilisation d'une machine virtuelle peut aussi être une bonne idée.
Si on administre à distance on blinde ssh (utiliser la directive "fail2ban" par exemple).
On cloisonne /tmp et /var/tmp (avec des quota par exemple).

Pour la version longue il y le guide de sécurisation Debian (http://www.debian.org/doc/manuals/securing-debian-howto/)

Pour évaluer l'efficacité de son travail on fait un petit audit avec Nessus (et là on prend peur http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif ) ou on s'initie au maniement de snort (et là on va chez un hébergeur ! http://www.alionet.org/style_emoticons/<#EMO_DIR#>/huh.gif )...

On backup, encore, et encore... car de toute façon les pirates utiliseront la technique qu'on ne connaît pas encore parce qu'ils vont l'inventer !

Bonne parano http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif

yoplait
22/08/2007, 12h15
Ca rassure .... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/ohmy.gif
je suis justement en train de lire le p'tit manuel de debian.
En tout cas, c'est très intéressant ! http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif

Copernicus_ThebigNewbie
22/08/2007, 12h29
Pour les VRAIs Paranos ... il y a ceci aussi ....

http://www.nsa.gov/snac/index.cfm?MenuID=scg10.3.1


from NSA donc en anglais ...

thveillon
22/08/2007, 13h38
Puisque nous en sommes à la sécurité, quelqu'un peut-il m'expliquer pourquoi la suse ne gère pas /tmp et var/tmp par défaut ? Il faut jouer du sysconfig pour vider tout ça automatiquement sinon on court à la catastrophe (simplement en éditant de la video hd j'ai bloqué mon /tmp...ça c'est le niveau zero de l'attaque super simple !). Je ne vois pas l'intérêt d'avoir ce comportement par défaut, mais peut-être quelque chose m'échappe -t-il ?