Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1627 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [Sécurité] Le B.A.-ba pour proteger un serveur de prod ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Sécurité] Le B.A.-ba pour proteger un serveur de prod ?

n°764094
Ricco
Retour au pays
Posté le 20-12-2005 à 12:28:25  profilanswer
 

Salut,
 
Quel est le minimum à faire pour proteger son serveur de prod linux ?
 
Je sais que la question est bête mais catapulté ingénieur réseau/system/bd, je suis responsable de tout ce que touche de près ou de loin à l'informatique de notre boite.  
 
Et là mon boss grise parce qu'il s'est fait foutre de sa gueule par son super pote le cador de la sécu informatique.  "C pas bien d'avoir tout sur le même serveur, les hackers (de l'espace) peuvent tout faire, alala les branque" and co.  
 
Et ça retombe sur bibi. Alors oui, en plus des développements web, db et des tratements logistiques, je n'ai pas trop le temps de reinstaller le serveur à chaque fois qu'une faille est découverte ou qu'une nouvelle distrib sort. On a a peine de quoi se payer un serveur dédié céléron et faudrait maintenant partir sur des serveur exclusif web et bd pour gerer nos 4 connections mensuels.
 
Je peux pas vraiment m'inproviser ingénieur sécu en 2 semaines ou passer des heures à la recherche d'un script kiddi à tester sur nous :-\
 
Comment faire rapidement et gratuitement un audit de notre site ? Existe-t-il des outils, si possible windows, qui permettent d'avoir une idée sur la vulnérabilité d'un serveur linux ? Que je puisse faire la part entre la grosse porte ouverte à fermer et la faille qui permet éventuellement un ddos si Mitnick s'interesse à nous ?
 
Pour l'instant je surveille juste les warezeux avec mrtg au cas où mais je reste confiant sur ce qu'on a, même si je vous filerez par l'adresse de ce serveur  [:matleflou]


Message édité par Ricco le 20-12-2005 à 12:28:49

---------------
"L'informatique n'est pas plus la science des ordinateurs que l'astronomie n'est celle des télescopes." Michael R. Fellows & Ian Parberry
mood
Publicité
Posté le 20-12-2005 à 12:28:25  profilanswer
 

n°764126
memaster
ki a volé mon 62?
Posté le 20-12-2005 à 15:00:44  profilanswer
 

1) fait le point sur tes users et demande leur d'utiliser un mot de passe pas facile
à casser (genre date de naissance, le-prenom-de-ma-maitresse... enfin tout ce qui est cassable
par un mot du dico)
2) mettre a jour le service apache régulierement
3) delocaliser tes bases de données du frontal web et autoriser une seule carte réseau
à faire des requetes sur tes bdd (si possible)
4) fermer tous les services que tes users n'utiliseraient pas
5) un firewall/routeur-modem + portsentry sur ton frontal web
6) et mettre en place un logwatch et le lire régulierement.
7) faire une sauvegarde saine de ton systeme (juste après l'installation).
 
cela ne garanti pas l'invulnerabilité totale, mais deja ça va faire ralentir
le 1er venu.
 
invulnerabilité totale = ne pas proposer de service web :sleep:

n°764180
Ricco
Retour au pays
Posté le 20-12-2005 à 16:45:19  profilanswer
 

Merci pour ta réponse.
Je vais regarder du côté de logwatch. C'est vrai que déja, rien que pour les tentative de connection je ne sais même pas où regarder.
 
Le truc c'est que pour le hardware, je crois qu'on va encore se contenté d'un seul serveur dédié loué. Et je n'ai la main dessus qu'en ssh.
C'est une fedora core 1 updaté au max. Tout ce qui est infrastructure, routeur, firewall je ne peut qu'au mieux faire confiance à l'hebergeur ( amen ... )

Message cité 1 fois
Message édité par Ricco le 20-12-2005 à 16:46:02

---------------
"L'informatique n'est pas plus la science des ordinateurs que l'astronomie n'est celle des télescopes." Michael R. Fellows & Ian Parberry
n°764190
GUG
Posté le 20-12-2005 à 17:27:26  profilanswer
 

apt-get install chkrootkit ... le problème qd chkrootkit détecte un truc c'est un peu tar ;) :D

n°764203
Ricco
Retour au pays
Posté le 20-12-2005 à 17:53:14  profilanswer
 

Merci pour chkrootkit. A priori il n'a rien trouvé :)


---------------
"L'informatique n'est pas plus la science des ordinateurs que l'astronomie n'est celle des télescopes." Michael R. Fellows & Ian Parberry
n°764220
e_esprit
Posté le 20-12-2005 à 18:31:19  profilanswer
 

Si t'as tout sur la meme machine, tu peux faire des chroots aussi pour securiser les services independamments les uns des autres :o
Au boulot [:twixy]


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°764331
memaster
ki a volé mon 62?
Posté le 21-12-2005 à 11:35:45  profilanswer
 

Ricco a écrit :

Merci pour ta réponse.
Je vais regarder du côté de logwatch. C'est vrai que déja, rien que pour les tentative de connection je ne sais même pas où regarder.
 
Le truc c'est que pour le hardware, je crois qu'on va encore se contenté d'un seul serveur dédié loué. Et je n'ai la main dessus qu'en ssh.
C'est une fedora core 1 updaté au max. Tout ce qui est infrastructure, routeur, firewall je ne peut qu'au mieux faire confiance à l'hebergeur ( amen ... )


installe webmin :hello:  
cela te creer une interface web qui te permet de tout gerer (ou tout foutre en l'air) en quelques clics
de souris.
www.webmin.org
 

n°764430
budo-ka
Posté le 21-12-2005 à 14:26:51  profilanswer
 

Si tu as le temps de lire un petit peu, tu devrais jeter un oeil à ces documents, et si tu es très occupé, il y a même une synthèse sous forme de check list ! C'est pas mal foutus mais ... en Anglais.
http://www.cert.org/tech_tips/unix [...] st2.0.html
 
Bonne lecture

n°764512
duch
Posté le 21-12-2005 à 17:20:08  profilanswer
 

et si tu as le temps de lire encore plus et comme tu as l'air sous debian, un indispensable :
 
http://www.debian.org/doc/manuals/ [...] ian-howto/

n°764654
mikala
Souviens toi du 5 Novembre...
Posté le 22-12-2005 à 01:53:50  profilanswer
 

memaster a écrit :

installe webmin :hello:  
cela te creer une interface web qui te permet de tout gerer (ou tout foutre en l'air) en quelques clics
de souris.
www.webmin.org


je ne suis pas certain qu'installer webmin entre réellement dans le cadre d'une politique de sécurité :o
(au hasard derniere faille webmin  [:ddr555] )


---------------
Intermittent du GNU
mood
Publicité
Posté le 22-12-2005 à 01:53:50  profilanswer
 

n°764677
memaster
ki a volé mon 62?
Posté le 22-12-2005 à 09:33:43  profilanswer
 

mikala a écrit :

je ne suis pas certain qu'installer webmin entre réellement dans le cadre d'une politique de sécurité :o
(au hasard derniere faille webmin  [:ddr555] )


il n'est pas obliger de laisser webmin tourner en permanence vu qu'il a un acces ssh. :non:  
il demarre le service au moment où il a besoin d'effectuer une tache complexe et referme
ensuite avant de partir. :hello:  

n°764682
GUG
Posté le 22-12-2005 à 10:15:44  profilanswer
 

webmin c'est pourri (c) !

n°764684
memaster
ki a volé mon 62?
Posté le 22-12-2005 à 10:18:03  profilanswer
 

GUG a écrit :

webmin c'est pourri (c) !


je vois une remarque très constructive la. :love:  :sleep:  

n°764689
mikala
Souviens toi du 5 Novembre...
Posté le 22-12-2005 à 10:59:24  profilanswer
 

memaster a écrit :

il n'est pas obliger de laisser webmin tourner en permanence vu qu'il a un acces ssh. :non:  
il demarre le service au moment où il a besoin d'effectuer une tache complexe et referme
ensuite avant de partir. :hello:


c'est justement dans le cadre d'une tâche complexe qu'il ne devrait surtout pas se servir de webmin .
Un accès ssh est plus que  suffisant pour tout .

Message cité 1 fois
Message édité par mikala le 22-12-2005 à 11:02:15
n°764692
memaster
ki a volé mon 62?
Posté le 22-12-2005 à 11:20:23  profilanswer
 

mikala a écrit :

c'est justement dans le cadre d'une tâche complexe qu'il ne devrait surtout pas se servir de webmin .
Un accès ssh est plus que  suffisant pour tout .


ça je n'en disconvient pas :ange:  (je vois que les puristes du shell sont de sortie...)
mais pour faire des recherches dans des logs longs de > 5000 lignes c'est un peu plus pratique
que les 32lignes d'une ligne de commande. et tlm ne connais pas "vi" sur le bout
des doigts. la suppresion recursive de répertoire (par exemple) me semble plus securisée
qu'un malencontreux "rm -rf" perdu en ligne de commande dans un pipe long de 3-4lignes.
 
juste ne pas en abuser car comme je l'avais précisé autant on a acces a tout, autant
on peut tout faire foiré en quelques clics...


Message édité par memaster le 22-12-2005 à 11:22:13
n°764697
mikala
Souviens toi du 5 Novembre...
Posté le 22-12-2005 à 11:44:12  profilanswer
 

il ne s'agit pas ici d'être un puriste du shell .
L'auteur du topic cherche un B.A-ba  (pour ne pas le citer ) afin de protéger un serveur de production,s'encombrer d'un utilitaire comme webmin me semble particulièrement  inapproprié dans le cas présent.
Et justement parce que l'on peut tout foirer en quelques clics il faut mieux utiliser a mon avis la ligne de commande ( et un shell moderne comme zsh :love: )
Accessoirement si il débute je le vois mal faire un pipe de 3-4 lignes ...

n°764700
GUG
Posté le 22-12-2005 à 11:48:22  profilanswer
 

Pas le temps d'être constructif mais  ici on ne travaille *jamais* avec webmin  
 
Ce truc te fout une merde pas poss dans les fichiers de confs, c'est degeullase ...  
 
Enfin maintenant pour les logs ils existent des outils 10x plus puissant (lyre et perl)

n°764703
memaster
ki a volé mon 62?
Posté le 22-12-2005 à 12:03:16  profilanswer
 

mikala a écrit :

il ne s'agit pas ici d'être un puriste du shell .
L'auteur du topic cherche un B.A-ba  (pour ne pas le citer ) afin de protéger un serveur de production,s'encombrer d'un utilitaire comme webmin me semble particulièrement  inapproprié dans le cas présent.
Et justement parce que l'on peut tout foirer en quelques clics il faut mieux utiliser a mon avis la ligne de commande ( et un shell moderne comme zsh :love: )
Accessoirement si il débute je le vois mal faire un pipe de 3-4 lignes ...


je pense qu'il devrais juger par lui même n'est ce pas? lui même a demandé une solution
autre que le shell ssh.
moi je lui donne aussi la liberté de tester et de choisir si cet outil peut lui convenir ou non.
cela fait plusieurs années que j'utilise webmin pour des taches complementaires au shell sans problème.
le shell c'est bien, mais à moins de connaitre son syteme par coeur, il n'offre pas de vision
globale. il faut rappeler que le temps c'est de l'argent et dans cette optique, il faut trouver
un équilibre-compromis entre temps de gestion d'un systeme et son boulot propre (qui rapporte).
si il passe plus de temps à maintenir son serveur plutot que de bosser sur des projets lucratif,
je pense pas que son boss va être très content. :cry:  
 
bref, on veut bien son retour d'experience :jap:

n°764731
MIGA_BELGO
Posté le 22-12-2005 à 13:49:49  profilanswer
 

yop,  
 
Service maj regulierement.
service sensibles en dmz, si possible mis en cage (chroot)
Firewall  Netscreen , ipfilter ou netfilter. Au choix en fonction des moyens/competences. Router en 1er Bastion, bonne table de routage est un bon prefiltre et l intrus potentiel a plus de mal a voir au dela.  
IDS (Osiris ,samheim, snort ... )
Monitoring reseau . Cacti Nagios ...  
Reduire au max le nombre de service tournant sur chaques machines exposees en zone untrust.
Monitoring Integrite systeme. AIDE ou le vieux Tripwire.
Logs centralises sur un serveur separe.
Rootkit prevention   chkrootkit/rootkithunter.  
 
Ca n a bien sur pas la pretention d etre complet loin de la , de toute facon si il y avait une recette ultime ca se saurait depuis lgts. De plus dans les grandes structures tu a en general une personne charge de la secu info . Et si il y a un domaine ou un service que tu ne sais pas securiser il faut le signaler afin de se former ou alors externaliser.
 
Slts.
Guillaume.

n°764745
Ricco
Retour au pays
Posté le 22-12-2005 à 14:12:04  profilanswer
 

memaster a écrit :

je pense qu'il devrais juger par lui même n'est ce pas? lui même a demandé une solution
autre que le shell ssh.
moi je lui donne aussi la liberté de tester et de choisir si cet outil peut lui convenir ou non.
cela fait plusieurs années que j'utilise webmin pour des taches complementaires au shell sans problème.
le shell c'est bien, mais à moins de connaitre son syteme par coeur, il n'offre pas de vision
globale. il faut rappeler que le temps c'est de l'argent et dans cette optique, il faut trouver
un équilibre-compromis entre temps de gestion d'un systeme et son boulot propre (qui rapporte).
si il passe plus de temps à maintenir son serveur plutot que de bosser sur des projets lucratif,
je pense pas que son boss va être très content. :cry:  
 
bref, on veut bien son retour d'experience :jap:


 
Maintenant je dois aussi rendre des compte ici [:alph-one]
 
Lol merci pour vos réponses. Il faut encore que je regarde les tutos. Pour webmin, j'étais moyennement chaud de rajouter éventuellement une nouvelle entrée possible mais c'est vrai que si je ne l'active qu'au besoin, le risque est limité.  


---------------
"L'informatique n'est pas plus la science des ordinateurs que l'astronomie n'est celle des télescopes." Michael R. Fellows & Ian Parberry
n°764748
memaster
ki a volé mon 62?
Posté le 22-12-2005 à 14:18:34  profilanswer
 

Ricco a écrit :

Maintenant je dois aussi rendre des compte ici [:alph-one]
 
Lol merci pour vos réponses. Il faut encore que je regarde les tutos. Pour webmin, j'étais moyennement chaud de rajouter éventuellement une nouvelle entrée possible mais c'est vrai que si je ne l'active qu'au besoin, le risque est limité.


n'ai pas peur, on n'a jamais mangé personne :lol:  
c'est juste par curiosité, ça peut servir a d'autres

n°764754
Mjules
Modérateur
Parle dans le vide
Posté le 22-12-2005 à 14:28:32  profilanswer
 

un truc simple pour sécuriser un minimum ssh (en plus du reste), c'est de le changer de port.
 
Ainsi, il sera nettement moins scanné par les bots


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°764851
e_esprit
Posté le 22-12-2005 à 17:52:05  profilanswer
 

Mjules a écrit :

un truc simple pour sécuriser un minimum ssh (en plus du reste), c'est de le changer de port.
 
Ainsi, il sera nettement moins scanné par les bots


Et utiliser l'authentification par clefs :o
Et avec un mot de passe sur la clef, par pitié :D


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [Sécurité] Le B.A.-ba pour proteger un serveur de prod ?

 

Sujets relatifs
[résolu] serveur x planté puis le clavier...que faire ?Serveur d'applications
[debian] Comment stabiliser un serveur Counter-Strike SourceSurveillance de répertoire sur serveur
tester la sécurité d'un serveuracceder a un serveur ftp avec un navigateur web
serveur mail avec courierRed hat9 et domaine windows 2000 serveur
Choix distribution Linux pour serveur HTTP 
Plus de sujets relatifs à : [Sécurité] Le B.A.-ba pour proteger un serveur de prod ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR