DEDIBOX-NEWS.COM

DKreeK · 2008-04-10 14:14:24

Salut à tous,

Je viens de me prendre une nouvelle dedibox et j'aurais aimé avoir vautre avis sur la sécurité à mettre en place sur celle-ci. La box servira uniquement d'hébergement web.

1) Installer iptable, y a plein de script sur ce forum, je devrait trouver mon bonheur sans trop de problème,
2) Changer le port par défaut de ssh et réduire la liste des user pouvant se connecter
3) J'ai entendu parler d'IDS, quand est-il exactement, qu'existe t-il aujourd'hui, est ce vraiment utile ?
4) Exist'il des scripts, logiciels ou autre qui peuvent surveiller des dossiers ? Je pose ses questions car j'ai déjà deux pb de failles sur un wiki et une gallerie photo qui ont permis d'heberger des fichiers à mon inssus. Ce que je voudrait, c'est avoir par exemple tout les soirs un script qui tourne pour m'envoyer un mail avec les nouveaux fichiers créé.

J'aurais bien utiliser ISP-Control comme Panel mais j'ai peur des failles de sécurité, je pense donc tout gérer à la main pour eviter les pb de failles qui sur ce genre de soft pourrais mettre à mal ma box !!!! A moin que quelqu'un ai une idée lumineuse à me proposer. Je pensais a début limité l'accés à l'IP fixe de chez moi mais si je dois me connecter depuis ailleurs je suis coincé !!!

Merci d'avance pour vos conseils éclairés

bgy · 2008-04-10 17:24:32

Je n'ai jamais été parmi les défendeurs du "changer le port" ssh, je suis vraiment pas convaincu que ça puisse être une réelle mesure de sécurité, un scan de port, et on a très vite mis la main dessus. C'est vrai que ça évite les bots... mais y'a d'autre méthodes, personnellement j'utilise un délai très long entre chaque tentative (à chaque erreur), les bots s'arrêtent TOUJOURS au premier essai depuis.
La vrai sécurité c'est de le configurer comme il se doit, pas de root, réserver aux utilisateurs ayant un accès au shell, utiliser des mots de passe variés et longs (libpam_cracklib) , ou encore mieux des clés (stocker sur USB par exemple).
Utiliser un logiciel du type fail2ban pour qu'il bloque les connexions des ips qui font trop d'erreur, tu peux également autoriser seulement certaines plages d'ips.
Si tu utilises un VPN tu peux alors configurer le port d'écoute sur une adresse locale et donc inaccessible depuis l'extérieur de ton réseau (virtuel).

Ensuite... supprimer TOUT ce dont tu ne te sers pas, quitte à réinstaller quand tu as besoin.
Pas la peine de Bind, de panel, etc.. si tu utilises ta box uniquement pour de l'hébergement web, apache et éventuellement php/mysql sont suffisant.
Tu peux également penser à chrooter ton serveur web, ça peut limiter les dégats.

Préfères utilises SFTP plutot que d'installer un serveur FTP (si tu n'en as pas l'absolue nécessité).
Utilise les permissions de manière judicieuses.

Et la chose qui la reste la plus importante, mettre régulièrement à jours ton système, et lire régulièrement tes logs.

tu trouveras un tas de bon tutoriels/howto en cherchant un peu sur google.

diou · 2008-04-10 22:57:40

1) Oui
2) Ce n'est jamais perdu
3+4) Installer aussi logwatch + rkhunter + fail2ban

J@r0d · 2008-04-10 23:14:35

Changer le port SSH ca va eliminer les 99,9% des ptits branlos qui on trouver un cain et qui on charger un super dico trouver sur hackforyou.com après si le gars est déterminé et que c'est TON serveur particulièrement qu'il vise alors dit toi que s'il s'en donne les moyens il t'obligera a le couper et si il est très très déterminé c'est ton prestataire qui le couperas pour ne pas impacter le reste du réseau.

DKreeK · 2008-04-11 08:59:44

Merci à tous pour vos propositions. Je vais commencer par regarder tout ca d'un peu plus pret ce week end (logwatch, rkhunter, fail2ban, libpam_cracklib) et je vais quand même changer les ports par défaut. Aprés si on veut vraiment attaquer ma box, on y arrivera. J'ai néanmoins quelques intérogation, surtout par rapport à ton post bgy :

1) Peut tu me donner un peu plus de détail quand au VPN dont tu parle. Je connais la théorie mais pas du tout la pratique Car la solution de la clef USB peut etre interessante mais ca m'est déjà arrivé de me connecter en ssh depuis mon tel portable et je ne suis pas sur de pouvoir le faire avec la clef USB...
2) Pour du SFTP, on peut le faire avec n'importe quel soft FTP ? Car j'utilise ProFTPD que je plug sur ma base SQL pour gérer les user et leur droits ce que je trouve assez pratique. Mais je comptais également utiliser du SSL pour le POP, le webmail et voir si ca existe de l'IMAP+SSL.
3) Peut tu me dire à quoi correspond "chrooter ton serveur web" ?

Encore merci pour vos informations

bgy · 2008-04-11 17:26:08

Le VPN c'est Virtual Private Network, c'est la possibilité de créer un réseau local avec des machines qui ne se trouvent pas physiquement au même endroit. C'est assez intéressant, car ainsi tu peux faire fonctionner un tas d'applications de manière très sécurisées. C'est un peu équivalent à SSL dans le sens où il s'agit d'un tunnel crypté entre plusieurs machines.
Cette image resume assez bien le concept du VPN :

Le SFTP c'est Secured FTP over SSH, en fait c'est une sous application du serveur SSH qui permet de faire des transferts ftp sécurisés. Donc adieu proftpd, vsftpd, etc...
L'inconvénient majeur est qu'encore peut de clients intègre cette fonctionnalité (filezilla le gère, flashfxp devrait le gérer dans sa version 3.0), aussi même si les transferts ne varient pas, le temps de négociations/authentification est légèrement plus long ; ce qui peut être génant lors qu'on travaille à distance (sur des pages webs, etc.. par exemple).
Je suppose que ça doit être possible d'utiliser un module pam propre pour sftp et l'associé à un module spécifique pour une authentifaction via mysql, mais je n'ai pas encore essayer.
Tu peux également faire un tour du coté de LDAP, pas forcément à envisager dans le cas où l'on a peut de compte, mais finalement très pratique.
En ce qui concerne ta messagerie, je t'invite à n'utiliser que SSL/TLS pour le SMTP, POP ou IMAP (excepté pour SMTP où l'envoie de courrier sortant nécessitera une connexion sécurisé)
C'est à toi d'éduquer tes utilisateurs, en leur apprenant le réel avantage, et la sécurité dont ils bénéficieront s'ils prennent le temps de configurer leur client de messagerie pour une telle utilisation.
J'utilise pour ma part la suite qmail + vpopmail + courier-imap, natif pour ce dernier, nécessitant un patch pour qmail.

ROOT = RACINE
CH = CHANGE
CHROOT = Changer la racine

ça consiste à enfermer ton serveur dans une prison virtuelle, de laquelle il ne pourra pas sortir :
\ <- racine "réelle"
--\home
----------\apache <- qui correspondra à la racine du serveur.
--\usr
--\var
--\etc

C'est un peu comme si tu installais un système dans le système, mais un système des plus minimum, ainsi même si l'on accède ton système à partir de ton serveur apache, la personne n'aura accès qu'à ce système et ne pourra donc pas compromettre l'ensemble de ton système.

DEDIBOX-NEWS.COM

#1 2008-04-10 14:14:24

Quelques questions de sécurité

#2 2008-04-10 17:24:32

Re: Quelques questions de sécurité

#3 2008-04-10 22:57:40

Re: Quelques questions de sécurité

#4 2008-04-10 23:14:35

Re: Quelques questions de sécurité

#5 2008-04-11 08:59:44

Re: Quelques questions de sécurité

#6 2008-04-11 17:26:08

Re: Quelques questions de sécurité

Pied de page des forums