mais ce que je fais c en relation avec mon boulot dans qq année ;)
monokrome
c un gros serveur de prod ? :heink:
asphro
et oui ;)
ca veut dire aussi que si une grosse faille est trouve en debut de mois dans un daemon et que je suis pas la , je suis nické ;)
monokrome
hein ?? pas de surveillance quotidienne des logs ? :non:
tu pourra meme pas regarder ce qui se passe avec ssh ?
ah bin voila, je comprends mieux ta politique 100% chroot ;)
asphro
monokrome a écrit a écrit :
perso je sais pas mais tu surveille pas les dernieres versions de tes daemons ?
dans ce cas pkoi tu t'inquiete tant d'un exploit sur un de ces daemons ?
pis par ex si tu chroot apache, le daemon avec lequel il run aura les droits sur les fichiers de son chroot ok ? binsi le gars peut faire un rm -r, tu perds quand meme toutes les données..
chépa je mettrai plutot en place un ids, surveiller les connexions entrantes, les logs, la charge, etc
note ben le probleme c est que le server desfois il sera 2mois allumer sans que personne y touche car 1mois/2 je serais chez moi a partir de septembre donc je secure un max ;)
asphro
oui mais y a un backup etc ...
si je le fais c est qu il y a une raison ;)
j ai reflechi pesé le pour et le contre et je prefere tous chrooté et le probleme n est pas la ...
monokrome
perso je sais pas mais tu surveille pas les dernieres versions de tes daemons ?
dans ce cas pkoi tu t'inquiete tant d'un exploit sur un de ces daemons ?
pis par ex si tu chroot apache, le daemon avec lequel il run aura les droits sur les fichiers de son chroot ok ? binsi le gars peut faire un rm -r, tu perds quand meme toutes les données..
chépa je mettrai plutot en place un ids, surveiller les connexions entrantes, les logs, la charge, etc
asphro
voila en koi se compose le server
binf -- server dns
mysql -- base de donnée
apache -- no coment
exim -- server mail (pop smtp)
ssh -- no coment
1- tout c service pour moi doivent etre chrooter car si faille
dans un de c composant tous le systeme est touche donc forcement c dangereux or si je chroot tous , ben la faille ne touchera que le service
2- c service vont etre ouvert de l exterieur donc ce qui le rend vulnerable
3- je parano ...
4- comme ca me sert a manipuler le chrooting ;)
5- tous marche pour l instant sauf probleme avec le server mail ...
mais je va trouver une solution fiable ;)
asphro
tout est parfaitemen homogeme mon seul probleme c le serveur mail
je pense que le chrootage est un des moyen les plus sur et mon but et de le rendre homogeme et fonctionnele en meme tps
monokrome
chép mais il existe d'autres moyens de protection a part chrooter, passke bon a un moment tu vas etre emm* pour faire communiquer tes daemons ensemble, ou pour faire un truc homogene
pkoi tu veut tout chrooter ? essaye de répondre genre "car si kkun.." bref quelque chose de concret
asphro
le up du soir ;)
asphro
donc pache php mysql etc .. c chrooté
probleme a pu la fontion mail vu que php se sert de la commande suivante /usr/talala/sendmail -t -i
or moi j ai exim ;) et pas core chrooté
donc j aimerai savoir si je dois chrooter exim avec apache ( dans la meme prison ) ou si dans le php.ini il y aurau un moyen de se servir du smtp local ce qui est faisable avec windows mais po les syteme unix d apres la lecture du php.ini
