Lu,
je dois installer un serveur internet pour heberger un site ssur le web (DNS + HTTP + PHP + MySQL + POP + SMTP + SSH).
Comment je peux faire pour qu'il soit sécurisé au maximum ?
J'ai deja pensé à ca :
Chroot : Apache + PHP + SMTP
Chroot : MySQL
Chroot : POP
Chroot : DNS
IPTABLES + GRSEC + AIDE + XINETD
Voyez vous autre chose pour une sécurité maximale (conte attaque diverses) ?

oui les patch de secu. + un kernel secure récents.

snort, chkrootkit et md5 (bon ok pour le dernier

si tu as un besoin réel de sécurité maximale choisis OpenBSD plutot que Linux... Ou meme BSD tout court d'ailleurs (ceci n'est pas un troll mais quand on voie le nombre de failles sous linux...)
 
Ensuite tout depend de la maniere dont tu vas configurer chacun des trucs, et bien sur Apache en premier
 
PS : MacOS X peut etre une bonne alternative aussi

openbsd, c'est secure mais bon ca l'ai aurait pas tuer de mettre bash avec un fichier de conf a l'install (peut etre probleme de licence)

bof, un pkg_add c pas la mort non plus, mais c vrai que le shell par defaut, csh je crois, ca emmerde au debut

le vrai reproche que je fait a bsd c'est son syteme de mise a jour

bah pkoi ca ?
 
c un soft issu d'un package ?
 
pkg_del puis pkg_add
 
c un soft issu d'un port ?
 
make update && make && make install && make clean
 
pkoi c koi sous debian ?
 
apt-get upgrade install ??
 
ca se vaut

snort , mouaih je l'ai mis en place (ipcop l'a fait pour moi )
c qd meme mouaih , bof car y'a bcp de faux positifs ds les remontés ... c problèmatique d'ailleurs.
 
Mais en tout cas c assez hallucinant de voir ce que l'on se prends  la gueule.

Nenelle : je parle pas des paquets mais de l'os (cvs inside + recompilation)

bah une petite debian avec un grsec + les acl qui tournent (de gradm ) avec un PAX a donf n'a pas grand chose a se voir reprocher vis a vis d'un openbsd
(bon c'est plus long a configurer d'un autre coté surtout vis a vis des acl mais bon )

hum tu les as installé ces fameuse ACL parceque rien qu'avoir la doc faut un doctorat pour s'en service
 
edit : tu parles bien du patch kernel de la NSA ?

non je parle de grsec
& oui je tourne avec =]
(bon j'ai pas fini de faire l'acl pour logrotate ceci dit &il se fait jetter quand il veut targz/rm les fichier )
http://www.grsecurity.net/papers.php :=]

ah ok celui la j'ai pas regardé  
je crois que c'est ca :
http://www.nsa.gov/selinux/news.cfm

sur les forums grsec il y a quelques propos vis a vis du truc de la NSA
& cela me réconforte sur mon choix de grsec

ok, merci

PAX késako ?

http://www.grsecurity.net/PaX-pres [...] /frame.htm

merci

sinon, je suppose que je peux pas monter 2 serveurs DNS sur la meme machine. Car mon registra demande 2 DNS

 
c super utile ...ça sert pas seulement à détecter les attaques, ça permet aussi de détecter des problèmes de conf.
 
C'est facile de se faire des règles perso.

c'est bon à savoir

il veut surtout deux ip différentes
si tu veux un secondaire on peut tjs s'arranger

ok