ADSL-BC

[Visiteur]

Salut,

Je compte louer un serveur sous Debian et je me demande quelles mesures et applications sont recommandées pour protéger le serveur de toute intrusion.

[nicky_larson9]

ovh :p
>debian + plesk8
>fedora ou centos sans plesk ^^

[on4hu]

pas grand chose si tes 'clients' sont LINUX... toule la panoplie anti virus et Cie. si tes clents sont Windows.
En fait si un virus arrive sur ton serveur Linux il n'est pas du tout dangereux mais peut être transmis a tes clients si Windows qui comme chacun le sais est une vraie passoire

[Jared]

fail2ban, iptables, ssh avec clefs (pub/sec), etc...

[nicky_larson9]

pas dire à ipcop :p

[Scheduler]

Ben déjà chrooter certains de tes serveurs, utiliser clamav comme anti virus pour tes clients Microsoft.Y a aussi chkrootkit et rkhunter pour tout ce qui est détection rootkit. Tu peux aussi utiliser SELinux et AppArmor.

Utilise GNUPG pour tout ce qui chiffrement, dm-crypt pour cryptage de tes partitions ou truecrypt ou encore encfs pour crypter un dossier

Sudo pour tout ce qui est privilège root

Utiliser shred au lieux de rm

[BKS]

La seule solution efficace à 100% :

Code : Tout sélectionner

$ halt

[BKS]

Utiliser shred au lieux de rm

En fait sur des FS comme ext3 il semble que toute récupératon soit impossible (ou du moins plus difficile que sous ext2). A moins de vouloir absolument supprimer toutes les traces, rm suffit avec ext3 non ?

[UBoot]

[...] Windows qui comme chacun le sais est une vraie passoire

Faut vraiment que tu rentres en mode trolling à chaque fois?
Ca servait à quoi d'ajouter ça? A relancer une discussion qui a déjà eu lieu mille fois?
Et quelles sont tes sources pour dire que "chacun sait que Windows est une vraie passoire"? A partir de quand (nombre de vulnérabilités? Leur criticalité?) une personne peut-elle dire que c'est une vraie passoire?
Moi je dis que c'est ton opinion, alors évite de la faire passer pour universelle.
Je connais PLEIN de gens personellement qui n'ont jamais eu de problèmes de virus ou autre malwares avec Windows. Certains même sans aintivirus.
Le secret?
Avant tout, le plus important: quelques connaisances de base, des mises à jour régulières de l'OS et des applis (tiens, tout comme sous Linux!!!).
Ensuite, un pare feu (on pourrait s'en passer, mais c'est prendre un risque inutile, et je ne le conseille pas) et un antivirus (pareil que pour le pare-feu: s'en passer est un risque inutile).

OK, je recommence au sujet des virus: aujoud'hui, il n'y a pas de virus sous Linux parce que sa part de marché est insuffisante aujourd'hui, moins profitable pour les producteurs de malwares.
D'autant plus, je pense, si on ne prend en compte que les utilisateurs à risque, les moins "éduqués" au monde PC (part d'utilisateurs qui, j'en ai l'impression, est une part très réduire de l'utilisateur Linux - mais ce n'est qu'une impression, je n'ai pas de chiffres. Je suis convaincu que c'est beaucoup moins que sous Windows, en tout cas).
Oui, Linux est mieux pensé au niveau sécurité que Windows, mais non, ça ne rend pas Linux "invincible". Linux (et les aplications open sources) doit aussi faire face à son lot de vulnérabilités, et ne protégera jamais totalement de "la connerie humaine".
Je ne dis pas qu'il y en aurait autant sous Linux que sous Windows, mais mon avis est qu'il y en aurait significativement plus que le presque zéro d'aujourd'hui.

C'est reparti pour un tour, ou on arrête?

[max]

on arrête et on continue à répondre à Yogi



Si tu loues un serveur sous Debian, choisi la version stable et abonne toi à la newsletter de debian security ( info sur http://www.debian.org/security/ ). Ce ne sont que quelques mails de temps en temps qui t'informent qu'une mise à jour de sécurité est disponible pour tel ou tel paquet.


Le reste, c'est comme pour n'importe quel serveur sous Linux: des tonnes d'avis pour des tonnes de cas de figure :à

[titinet]

bonjour,

Je me suis monté un serveur à la maison, sur un vieux duron1300, pour faire des tests sous debian. Ma page me sert aussi de memo : http://www.marcfiasse.com/editeurs/debian/

Hormis un serveur mail, dont je n'ai pas d"intéret ici, c'est assez basique, mais pour tester des scripts, ça me convient amplement.

J'aimerais votre avis sur ma méthode, si c'était pour mettre ça sur un dédié.
Est-ce sensiblement pareil que ce que je fais sur ma page, hormis qu'au lieu de partir d'un cd d'install, je partirais d'un système rescue "ovh", par exemmple ?

[UBoot]

Je dirais: ça dépend pourquoi c'est faire, ce serveur.

S'il n'y a rien de bien confidentiel/sensible, alors l'application des màj de sécurité + filtrage des communications me semble suffisant.
+ un petit backup de temps en temps?

[ndub]

bonjour,

Je me suis monté un serveur à la maison, sur un vieux duron1300, pour faire des tests sous debian. Ma page me sert aussi de memo : http://www.marcfiasse.com/editeurs/debian/

Hormis un serveur mail, dont je n'ai pas d"intéret ici, c'est assez basique, mais pour tester des scripts, ça me convient amplement.

J'aimerais votre avis sur ma méthode, si c'était pour mettre ça sur un dédié.
Est-ce sensiblement pareil que ce que je fais sur ma page, hormis qu'au lieu de partir d'un cd d'install, je partirais d'un système rescue "ovh", par exemmple ?

ça risque de pas marcher:

repérer la ligne :
------------------

iface eth0 inet dhcp


et remplacer par :
------------------

iface eth0 inet static
address 192.168.1.5
netmask 255.255.255.0
network 192.168.1.1
gateway 192.168.1.0

[titinet]

ben, si, ça marche comme ça pourtant.

je devrais mettre quoi ?

Ah peut etre :

network 192.168.1.0
gateway 192.168.1.1

en fait, c'est en recopiant que me suis trompé ! m'rci

[BKS]

ben, si, ça marche comme ça pourtant.

je devrais mettre quoi ?

Ah peut etre :

network 192.168.1.0
gateway 192.168.1.1

en fait, c'est en recopiant que me suis trompé ! m'rci

Sur un server dédié tu n'as pas besoin de toucher à la config réseau. En réalité tu cliques sur un bouton "Installer Debian Etch 4.0 Stabe" et tu reçois les logins root par mail 15 minutes plus tard.

[NomadSoul]

Je compte louer un serveur sous Debian et je me demande quelles mesures et applications sont recommandées pour protéger le serveur de toute intrusion.

D'abord lire ceci:
http://www.debian.org/doc/manuals/secur ... ex.fr.html

1° le firewall: bien configurer iptables
http://www.debian-administration.org/articles/187
http://guides.ovh.com/FireWall

2° sécuriser aussi l'accès ssh (soit en limitant l'accès à un user précis et en enlevant l'accès root + changer le port, soit via des clés ssh... ce qui est assez efficace).

ça c'est le strict "minimum" selon moi.

Après il faut sécuriser chaque application, mysql, postfix/qmail, php, apache (via mod_security, mod_evasive , etc... mais pas indispensable), config de proftp/pure-ftp, ... mais tout ça c'est au cas par cas, en fonction de ce que tu fais sur ton serveur.
Puis faire du monitoring, checker les logs (/var/log/auth.log, etc), installer quelques utilitaires (fai2ban, rkhunter, chkrootkit, ...) ... voilà , rapidemment.

[titinet]

Je me penche aussi sur la sécurtié dans mon script d'install Cloud.
http://marcfiasse.com/editeurs/cloud/

Est-ce qu'il y a des utilisateurs de fail2ban ?

J'ai fait des règles dans /etc/fail2ban/jail.conf sur les logs d'apache Logerror, mais, comme ils sont tous séparés suivant les domaines virtuels et comme j'ai 5 domaines virtuels sur la machine Cloud, j'ai donc 5 règles.
Je vais faire tourner ( logrotate ) mes logs tous les jours, pour ne pas trop alourdir les fichiers log.
Avec postfix, proftpd, ssh, courier, ect... en tout, ça me fait une 15 ène de règles pour fail2ban avec des bantime différents.
J'ai aussi un mods_evasive sur Apache2 qui tourne plutot efficacement... ( blocage de 10 secondes )
La connexion ssh sur Cloud se fait par certificat + le fail2ban, ça devrait aller en gardant le port 22, non ?
Mon dossier /phpmyadmin et cgi-bin et www basé sur l'ip se font uniquement par localhost/ en tunnel ssh

J'utilise aussi le mod fcgid pour les scripts, mais, depuis, je n'ai plus de log d'erreur quand j'appelle un fichier .php qui n'existe pas !
Avant, sans le mod fcgid activé, j'avais un message d'erreur si le fichier n'existait pas en .php.
J'ai résolu en mettant un .htaccess avec un Errordocument 404 et un fichier html d'erreur qui n'existe pas. A partir de là, ma règle fail2ban analyse et agit si trop d'appels de fichiers inexistants...

Quelqu'un a une idée pourquoi avec le mod fcgid, je n'ai plus cette erreur quand un .php est manquant ?

Je pourrais encore ajouter d'autres choses ? Aussi configurer des iptables uniquement pour les services et rien d'autre ?

Merci de vos idées...

[esperlu]

Je pourrais encore ajouter d'autres choses ? Aussi configurer des iptables uniquement pour les services et rien d'autre ?

Merci de vos idées...

Ça me semble effectivement un strict minimum. Pour un minimum de sécurité: Policy par défaut DROP pour INPUT et FORWARD. Pour la chaîne OUTPUT, ce n'est pas strictement nécessaire si tu connais tous les utilisateurs de ta machine mais c'est toi qui voit...

Comme protection j'utilise parfois un TCP wrapper (tcpd --> man hosts.deny hosts.allow) pour certains services. Très facile à configurer.