Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1829 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Sécurisation d'une passerelle debian

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Sécurisation d'une passerelle debian

n°213375
t3a80
Posté le 18-01-2003 à 22:06:32  profilanswer
 

bjr tt le monde,
 
Voilà le topo : j'ai chez moi une machine sous debian woody qui me sert de passerelle pour mes autres pc .
Tous les ports sont fermés depuis l'exterieur, mais j'ai bcp de services qui tournent en local(apache, mysql, postfix ...).
Je viens d'installer un webmail pour recuperer les mails de mes nombres boites, + la boite locale et je voudrais pouvoir me connecter à mon webmail depuis le net.
Je vais donc ouvrir le port 80 et m'inscrire chez no-ip.com.
J'envisage peut etre aussi de mettre mon site web sur ma becane.
 
Avant cela, je voudrais savoir quoi sécuriser pour éviter toute mauvaise surprise  :) .
 
Mon firewall iptable joue son rôle, mais c'est surtout au nivo de mon webmail (uebimiau) et donc de apache+sql que je voudrais blinder le truc.
 
Alors que vérifier, que modifier ?
thks.


---------------
Celui qui excelle ne discute pas, il maîtrise sa science et se tait.
mood
Publicité
Posté le 18-01-2003 à 22:06:32  profilanswer
 

n°213398
Tomate
Posté le 18-01-2003 à 22:27:33  profilanswer
 

bah deja pour securiser apache va falloir ke tu t accroches, parce que c est pas repute pour etre un truc simple
 
j vais voulu faire ca un jour (tu te rappeles pour mon site web avec mon rapport de stage lol :D) et j ai vite abandonne!!!
 
car :  
1. c cho!
2. fo bien commaitre les nombreuses failles http (alors avec php je t en parle meme pas !)
3. fo etre constament en train de matter les logs pour voir si tu te fais pas attaquer :D
4. bah c est deja pas mal!!!
 
pk ne pas heberger ca sur free ou freesurf??
 
car la c est eux ki prennent les risques !!
 
ps : si tu pouvais m aider a installer mes drivers ati en passant chez moi ca serait cool lol :D

n°213432
Castor666
:°)=
Posté le 18-01-2003 à 23:03:22  profilanswer
 

Moi je propose un apt-get update, puis apt-get upgrade régulierement et un linux a jour (pas de kernel 2.4.11 par exemple). C tout.

n°213466
Tomate
Posté le 18-01-2003 à 23:55:48  profilanswer
 

et pour apache ??
 
y a une montagne de piege dans ce truc !!!
y a tellement d option ...

n°213517
Castor666
:°)=
Posté le 19-01-2003 à 09:10:17  profilanswer
 

Si tu laisses les conf par défaut, ça passe sans problème. Je parle là de debian biensur, pour les autres j'en sais rien du tout.
Après, avec le php par exemple, je pense pas qu'on puisse ouvrir une failles juste en l'activant dans la conf d'apache... Il faudrait vraiment chercher les merdes pour réussir d'ailleur :)
 
De toute façon, il faut lire la doc, et pour apache elle ne doit pas faire quelques lignes :D Sinon un bon manuel sur l'installation et la configuration d'apache suffira.

n°213519
t3a80
Posté le 19-01-2003 à 10:02:40  profilanswer
 

ouais, j'ai vu sur lea-linux un tuto pour securiser apache et mysql, je vais deja essayer ça. Mais bon c assez léger.
 
Quand au fait que la conf de debian est sûre par défaut, z'êtes sur de ça ?  :??:


---------------
Celui qui excelle ne discute pas, il maîtrise sa science et se tait.
n°213899
Castor666
:°)=
Posté le 20-01-2003 à 10:57:42  profilanswer
 

En woody on peut en être sur. Mais personne ne peut commettre aucune erreur..

n°213901
Tomate
Posté le 20-01-2003 à 11:03:19  profilanswer
 

attend; tu est en train de dire k une debian woody c est in cassable en gros ???
 
 
:lol:

n°213908
HipHop-oTa​M
Posté le 20-01-2003 à 11:38:00  profilanswer
 

tomate77 a écrit :

attend; tu est en train de dire k une debian woody c est in cassable en gros ???
 
 
:lol:


 
bhah oui

n°213912
parano
Time... to die...
Posté le 20-01-2003 à 11:50:24  profilanswer
 

tomate77 a écrit :

attend; tu est en train de dire k une debian woody c est in cassable en gros ???
 
 
:lol:


 
C pas incassable mais les paquets fournis sont connu pour n'avoir aucune vunlérabilité repertorié. Ils sont éprouvé depuis lgtmp (ce qui explique que ce ne sont pas les dernieres versions beta-test-mescouilles), et les rares mises a jour deployé par la branche securité de Debian pour et uniquement pour woody sert justement a corrigé d'eventuelles failles recensées. De plus les fichiers de conf sont par defaut defini pour etre le plus sure possible, interdisant tout ce qui n'est pas explicitement autorisé (sauf cas decrit dans les readme du paquet). Il est evident que cela donne un systeme tres secure.

mood
Publicité
Posté le 20-01-2003 à 11:50:24  profilanswer
 

n°213919
Tomate
Posté le 20-01-2003 à 12:24:08  profilanswer
 

mouais, je ne suis pas completement convaincu
 
mais bon, un petit server http a la maison, c est pas non plus la maison blanche, le challenge est pas vraiment haut :D

n°213927
houplaboom​42
Posté le 20-01-2003 à 12:37:45  profilanswer
 

parano a écrit :


 
C pas incassable mais les paquets fournis sont connu pour n'avoir aucune vunlérabilité repertorié. Ils sont éprouvé depuis lgtmp (ce qui explique que ce ne sont pas les dernieres versions beta-test-mescouilles), et les rares mises a jour deployé par la branche securité de Debian pour et uniquement pour woody sert justement a corrigé d'eventuelles failles recensées. De plus les fichiers de conf sont par defaut defini pour etre le plus sure possible, interdisant tout ce qui n'est pas explicitement autorisé (sauf cas decrit dans les readme du paquet). Il est evident que cela donne un systeme tres secure.


 
au niveau des updates de secu c est pareil pour toutes les distros.
 
et non les fichiers de conf sont pas defini pour etre les plus secure possible , sinon uils auraient mis ServenTokens a prod , une page 404 , un banner generique ....
 
 

n°213932
parano
Time... to die...
Posté le 20-01-2003 à 13:03:27  profilanswer
 

houplaboom42 a écrit :


 
au niveau des updates de secu c est pareil pour toutes les distros.
 
et non les fichiers de conf sont pas defini pour etre les plus secure possible , sinon uils auraient mis ServenTokens a prod , une page 404 , un banner generique ....
 
 


 
Non, ce n'est pas pareil. la woody ce sont des paquets EPROUVE. les autres distribs font des mises a jours des paquets en partant des plus recents, cad qui corrigent les trous de la version precedente, et aussi des bugs, et qui rajoutent souvent des fonctionnalités : tout ceci fait que tu ne peux pas dire que c un paquet secure. Les paquets de la woody n'ont pas de failles de sécurité connu depuis plusieurs mois, les updates de sécurités ne  te donnent pas "la derniere version bugfree", mais la version sans le trou.
 
Enfin une page 404 ou pas n'est pas un trou de sécurité. Le numéro de version ne te donne pas les moyens de rentrer dans un soft car  
 
1) il peut etre faux  
2) cela ne te donne pas moyen de rentrer dedans (super g le numéro je vais chercher les bug connu pour la version woody... merde y'en a pas....)  
3) il existe des softs qui se foutent royalement de la presence d'une page ou pas pour detecter quel version du serveur tu utilises.
 

n°213984
houplaboom​42
Posté le 20-01-2003 à 15:27:05  profilanswer
 

arrette de dire n importequoi , je prends l exemple de security fix
sur samba sendmail t apache pour mandrake
 
http://www.mandrakesecure.net/en/a [...] A-2002:081
http://www.mandrakesecure.net/en/a [...] A-2002:083
http://www.mandrakesecure.net/en/a [...] A-2002:068
 
regarde bien les versions N ONT PAS CHANGES , et c est pareil chez redhat , suse ... ils font tous du backport de patch , justement pour eviter de peter une conf  ( = si le format de la conf change : options n existant plus .... ) lors d un  upgrade
 
qd aux numeros , ou aux entetes  c est toujours un renseignement et ca peut toujours servir sans compter q un  "lynx -dump -head" te donne non seulement la version d apache mais les modules utilisés ( ssl , gzip , php ... )
 
si la version d apache de debian etait reelement securisé ce serait tout dans un chroot avec les variables que j ai dis precedement mise
sur le bon truc
 
mais attention j ai pas dit que la version debian n etait pas securisé , elle l est correctement , mais pas a fond les ballons.
 

n°214090
Castor666
:°)=
Posté le 20-01-2003 à 20:10:20  profilanswer
 

tomate77 a écrit :

attend; tu est en train de dire k une debian woody c est in cassable en gros ???
 
 
:lol:


Quand tu lis un message, tu lit toute les pharases ?
Je n'ais jamais dit que c'était incassable. D'ailleur ce mot n'existe pas dans le vocabulaire de l'informatique. Mais si tu préfère rire vas y, je peux pas t'obliger a lire l'odieuse phrase qui se trouvait a la suite de la première :
  Mais personne ne peut commettre aucune erreur..
C'est bon, ça n'a pas fait mal sans lubrifiant ?

n°214129
t3a80
Posté le 20-01-2003 à 20:53:37  profilanswer
 

bon donc en clair à vous lire j'ai pas trop à m'en faire.
Sinon, pour reprende l'expression de houplaboom42, que faire pour sécuriser le tout à fond les ballons  :)  
A part le tuto de lea-linux (methode .htaccess), vous auriez d'autres liens par hazard ?  


---------------
Celui qui excelle ne discute pas, il maîtrise sa science et se tait.
n°214505
BMenez
Posté le 21-01-2003 à 20:31:28  profilanswer
 

Apache sans faille connue + mysql sans faille connue + php sans faille connue et scripts programmés proprement.
 
chroot de apache, apache sans utilisateur root, ssl pour eviter que les mdp passent en clair
ne pas permettre l'accès à mysql depuis l'exterieur (uniquement avec l'utilisateur de php depuis localhost)
 
et il y a certainement d'autres trucs mais je ne vois pas...

n°214512
- Fred -
007 Agent
Posté le 21-01-2003 à 20:53:04  profilanswer
 

D'ailleurs, la version 4.3.0 est sortie, et elle paraît assez secure ... elle a été longuement testée, il semblerait qu'elle soit un bon choix. Il y a aussi ce petit site qui peut t'intéresser :
http://www.phpsecure.org


---------------
"You know the name, You know the number..."
n°214625
houplaboom​42
Posté le 22-01-2003 à 10:29:33  profilanswer
 

j y pense si tu utilises une debian , virer ce qui ne devrait pas etre par default ( un autre truc qui montre que la conf debian est pas ultra  securisé par default comme le pense parano :sarcastic: )
 
virer au moins dans la directive  suivante les options   Indexes et FollowSymLinks
 
<Directory /var/www/>
     Options Indexes Includes FollowSymLinks MultiViews
     AllowOverride None
     Order deny,allow
</Directory>


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Sécurisation d'une passerelle debian

 

Sujets relatifs
pb avec mplayer/gmplayer sous debian :(comment ajouter un user sous debian ???
[Debian] Comment réaliser un mirror local?Passerelle internet WiFi
récupérer une installation de debian sid après changement[Module Noyau] Ajout de Module Sur Debian 3.0 Woody
Probleme rezo sous debian[Debian] Comment recompiler un kernel ??
Modem alcatel USB problème après crash de la passerelle !Debian / window manager par defaut ???
Plus de sujets relatifs à : Sécurisation d'une passerelle debian


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR