Sécuriser son serveur dédié ?

[benjiman]

Bonjour

Dans la famille "serveur dédié" je voudrais "sécurité" :lol:
Bien bien, voila aujourd'hui, je vais surement faire partager mon serveur dédié avec plusieurs autres sites (le disque étant de 80 go.. je pense que je peux :lol: :lol: ).
Cependant, je ne veux pas leur bloquer l'acces à PHP donc je voudrais sécuriser au maximum PHP.
La version actuelle de PHP est la 4.3.10-15 .

Voila... si vous avez quelques informations en plus ...
Merci :wink:

 

[Kwiz]

Bonsoir,

Déjà en mettant "magic_quotes_gpc" à on et "register_globals" à off.

Kwiz

 

[benjiman]

Merci pour ta réponse car je vois que peu puissent m'aider (nombre de lectures/nombres de post :lol: )

Mais, à quoi sert : "magic_quotes_gpc" ?
De plus, il y a que ca a modifier ?
Tous les parametres des systemes, du genre, éteindre le systeme etc...

Mais vous n'avez pas sinon un lien vers lequel tout est référencé pour vous évitez de tout dire ?

Merci beaucoup !

 

[thierry8]

Mais, à quoi sert : "magic_quotes_gpc" ?

Permet d'achaper par un anti-slash, toutes les quotes ( ' , " ) par sécurité.
http://fr2.php.net/manual/fr/ref.info.p ... quotes-gpc



Après je suis aussi interessé, s'il y a d'autres paramètres à modifier.

 

[Kwiz]

Mais, à quoi sert : "magic_quotes_gpc" ?
De plus, il y a que ca a modifier ?
Tous les parametres des systemes, du genre, éteindre le systeme etc...

Ce que je t'ai recommandé permet d'éviter les injections de code dans tes scripts.

Kwiz

 

[benjiman]

Ok !
Merci beaucoup je vais déja le faire.. on verra bien ...
Mais il n'y a pas d'autre chose à modifier comme par exemple, comme j'ai vu la fonction "system" non ?

 

[Kwiz]

Ok !
Merci beaucoup je vais déja le faire.. on verra bien ...
Mais il n'y a pas d'autre chose à modifier comme par exemple, comme j'ai vu la fonction "system" non ?

Je n'en sais pas plus sur la sécurité côté serveur, désolé :?

Kwiz

 

[wannabe]

Faudrait que tu installe aussi un firewall
pour entre autre te proteger contre le ping et le ddos
ensuite que tu mette a jour ton serveur
Que tu securise ton accès je suppose ssh avec un clé rsa
et que tu compartiement bien chaque site web que tu va héberger

et aussi php_safe

voila

 

[thierry8]

Que tu securise ton accès je suppose ssh avec un clé rsa

C'est à dire ?
Par défaut le ssh est sécurisé ? :?

 

[wannabe]

Oui tu as raison il est crypté mais pour évité que tu as inscrire le mot de passe a chaque fois que tu te log, il serait preferable que tu utilise une clé rsa crypée elle aussi

la ta secu serais excelente

 

[benjiman]

Merci d'avoir fait remonter le post ...
Cependant... comment je fais pour avoir un "firewall" sous Debian ?
Sinon, pour php_safe, je suppose que tu veux parler de safe_mode non ?

Encore merci

 

[thierry8]

J'ai trouvé cela pour le firewall: http://lehmann.free.fr/instFirewall.html

Et oui c'est safe_mode.

 

[thierry8]

Est-ce que le safe_mode est désactivé chez tous les hébergeurs ?

J'ai regardé les fonctions qui sont désactivées avec le safe_mode à on, c'est vraiment très restrictif !

 

[DaviXX]

Bonjour,

Partager son serveur dédié avec d'autres personnes nécéssite pas mal de travail, il y a un certain nombre de chose que je fais par défaut sur un serveur où je met des hébergements mutualisés :

=> Mettre PHP4 et/ou PHP5 en suExec, grâce à suPHP (http://www.suphp.org)

=> Ensuite, comme on te l'as déjà dis, le "register_globals" à Off permet de désactiver une fonctionnalité de PHP dont beaucoups de "développeurs" ont profités sans se soucier des risques que cela entrainait.

=> le "safe_mode" est à mon goût trop restrictif en PHP, je pense que tu devrais plutôt te renseigner autour des options "open_basedir" "disable_functions" (pour "exec" et "system")

=> Assure toi aussi de ne pas leurs donner d'accès SSH : en leurs mettant "/bin/false" en shell

# chsh -s /bin/false USER

Mais bon, faut voir selon ton système, en fonction du /etc/shells, et de ton serveur FTP entre autre pour ne pas avoir d'effets secondaires.

Cordialement,

 

[aspserveur]

Choisir aussi un hébergeur qui propose la sécurité !

La sécurisation d'Apache ne suffit pas car il faut prendre en compte les multiples failles de sécurité du réseau et du serveur en lui même, ne serait-ce que sur les autre services que le protocole HTTP.
Par exemple le serveur de DNS "BIND" est réputé pour être une vraie passoire.
La simple suppression des "quotes" ne suffit pas non plus à éviter toute tentative d'attaque par injection SQL.

1 - Firewalls
Il faut donc utiliser plusieurs couches de sécurité et certains hébergeurs (dont nous même ASPSERVEUR) proposons ce service avec tous nos serveurs dédiés.
Cela consiste tout d'abord à utiliser un Firewall précis, moderne et fiable. Nous utilisons pour notre part les derniers modèles CISCO. Les régles des Firewalls sont modifiables par le client. Les Firewalls sont redondants et prévu pour une très large capacité pour eviter les déni de service. Ces modèles sont très chers mais la sécurité qu'ils apportent est sans commune mesure avec les Firewalls bricolés à partir d'un Linux utilisés par la plupart des hébergeurs.

2 - IPS
L'arme la plus redoutable est sans doute l'IPS pour "Intrusion prevention system"
Ce système permet de bloquer automatiquement l'adresse IP d'un assaillant lorsqu'une signature d'attaque est reconnue sur le réseau. Ce type d'outil contient une base de données de l'intégralité des signatures d'attaques connues.
Là encore les logiciels de la communauté libre comme le plus connu "SNORT" ne suffisent pas car ils écoutent sur un port réseau et ne bloquent l'assaillant qu'après la première attaque ... quand le mal est fait !
Il faut donc que le système soit en amount et ce que propose CISCO avec un module IPS intégré au Firewall qui permet de bloquer l'adresse IP de l'assaillant avant que l'attaque parvienne au serveur.

3 - Dimensionnement des équipements
Il faut aussi que l'hébergeur ne soit pas radin dans le dimmensionnement des équipements réseau.
Si l'équipement est juste une simple attaque par déni de service (beaucoup de petits paquets envoyés sur le réseau) aura rapidement raison du réseau et du Firewall.

4 - Surveillance pro-active
Certains outils tels que NAGIOS permettent aussi de surveiller toute activité anormale (augmentation subite de la bande passante, trop de sessions, trop de petits paquets réseau...). Ces outils doivent-être mis en oeuvre avec des seuils d'alerte qui informent immediatement les ingénieurs sécurité.

5 - Mise à jour du système
Il faut impérativement bien sur que le système utilisé soit toujours parfaitement à jour.
Pour Linux certaines distributions proposent cette option et pour Windows la seule solution qui fonctionne parfaitement est de relier le serveur à un serveur de mises à jour bien configuré qui ordonne un reboot immédiat à Windows après chaque mise à jour critique de sécurité necessistant un redémarrage.

Bref, avec tous ces outils et les conseils d'un véritable hébergeur pro (pas ceux qui prétendent être pro et s'adressent surtout à des particuliers qui font des "home page" lol) vous ne devriez jamais rencontrer de problème de sécurité. Pour ces raisons ASPSERVEUR a été choisi par de nombreuses banques et organismes financiers.

ENDERLE Sébastien
Technical Director
http://www.aspserveur.com

 

[fbparis]

http://www.debian.org/doc/manuals/secur ... ex.fr.html

Puis :

http://www.modsecurity.org/
http://php-ids.org/