Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

comment proteger son serveur web ; ftp ; pour etre en production

jupiler

BONJOUR A TOUS,

JE SUIS ENTRAIN DE M'INSTALLER UN SERVEUR DE PRODUCTION AVEC APPACHE MYSQL ET PHP PLUS UN SERVICE FTP.
COMME JE NE VEUT PAS QUE L'ON ME FACE DE MONVAISE BLAGUE J'AIMERIAS QU'ON PUISSENT M'INDIQUER COMMENT RENFFORCÉES LES SÉCURITÉE DELA FC5.

J'AI ENTENDU PARLER DE :

GRSECURITY
BASTILLE
SNORT
MOD SECURITY

ET AUSSI DU SFTP DONC DU FTP SÉCURISER.

MAIS COMME JE VOUS DIS J'AI SIMPLEMENT ENTENDU PARLER ,COMME JE SUIS DEBUTANT SUR LINUX , TOUTES C'EST INFORMATION VIENNENT DE LIVRES (SÉCURITER À 200% )ET DE FORUM.

APRES C'EST 4 PROGRAMME SONT-ILS SUFFISENT POUR UNE SÉCURITÉE EN PRODUCTION ????

MERCI DE VOS RÉPONSES ET PROPOSITION

grosminet

La fedora FC5 a un outil de securité standard qui est SELINUX
Il est assez puissant pour proteger le serveur
il va permettre de limiter les ports ouverts
aux services que tu as besoin ftp,http, https,ssh
ftp n'est pas tres sur mais tu peux toujours le securisé par des moyens de tunnels sous ssh
le problème qui va acceder à mon serveur, est il ouvert sur le net
snort est un moyen d'audit et d'ecoute , voir de secours en presence d'une attaque
la sécurité sera aussi comment du bati ton application

jupiler

OUI MON SERVEUR EST CONNECTÉ SUR LE NET .
J'AVAIS PENSSER A CRÉER UN TUNNER SSH+FTP MAIS IL FAUT QUE JE TROUVE DES DOCUMENTATION SUR CELA.

JE NE SAVAIS PAS QUE SELINUX ETAIT SUFFISANT .

SUR SNORT TU DOIT TE TROMPER JE PENSE PARCE QUE DANS MON LIVRE IL EXPLIQUE CECI:

1 DETECTER DES INTRUSIONS AVEC SNORT
2 CONSERVER UNE TRACE DES ALERTES
3 SUPERVISION EN TEMPS RÉEL
4 GÉRER UN RÉSEAU DE SONDES
5 ÉCRIRES SES PROPRES RÈGLES SNORT
6 PRÉVENIR ET CONTENIR DES INTRUSIONS AVEC SNORT-INLINE
7 AUTOMATISER LE PARE-FEU DYNAMIQUE AVEC SNORTSAM
8 DETECTER UN COMPORTEMENT ANORMAL
9 METTRE AUTOMATIQUEMENT À JOUR DES RÈGLES SNORT
10 CRÉER UN RÉSEAU DE SONDE FURTIVES
ET 11 UTILISER SNORT DANS DES ENVIRONNEMENTS EXIGEANTS AVEC BARNYARD

AUSSI POUR SÉCURISER LES APPLICATION WEB EN AUTRE POUR DETECTER ET EMPÊCHE LES INTRUSIONS .
CAR IL DISE QUE MOD SECURITY PEUT EFFICACEMENT REPOUSSER LES ATTAQUES PAR PARCOURS DE RÉPERTOIRES,SCRIPTS INTER-SITES, INJECTION DE SQL ET DÉBORDEMENT DE TAMPONS.

MAIS COMME JE LE DISAIS PLUS HAUT EST-CE QUE UN FIREWALL + SNORT + MOD SÉCURITY EST-CE SUFFISANT ???

FAUDRAIT-IL PAS EN PLUS :

-CHIFFRER LE DOSSIER TEMPORAIRE.
-UTILISER UN SERVEUR FTP AVEC UNE SOURCE D'AUTHENTIFICATION MYSQL .
-DUPER LES LOGICIELS DE DÉTECTION À DISTANCE DU SYSTÈME D'EXPLOITATION AVEC IP PERSONALITY.
-BLOQUER L'IDENTIFICATION DU SYSTÈME D'EXPLOITATION.
-INSTALLER SUEXEC POUR APACHE.
-SÉCURISER MYSQL DANS UN ENVIRONNEMENT ISOLÉ ( CHROOT ).
-VERIFIER L'INTÉGRITÉ DES FICHIERS ET TROUVER CEUX QUI SONT COMPROMIS AVEC TRIPWIRE .
-EMPÊCHER LES ATTAQUES PAR CORRUPTION DE PILE.
-VERROUILLER LE NOYAU AVEC GRSECUTITY ET AUSSI RESTREINDRE LES APPLICATIONS.

BON VOILA JE PENSE AVOIR AGRANDIS CE TOUR D'ORRIZON .

MERCI POUR TOUTES RÉPONSES DE VOTRE PART CAR SUR LE NET JE NE TROUVE VRAIMENT PAS BEAUCOUQ DE DOCUMENTATION SUR LA CRÉATION DE SERVEUR DE PRODUCTION ET LEUR SÉCURITER POUR PETIT BUDJET.
(EXEMPLE :SERVEUR LAN BIPROSCESSEUR AMD 64 SATA RAID 5 500 GYGA MEMOIRE 400 ECC 1 GYGA )

Atchoum

Super lourd le capslock -_-

Sat

Tu peux éviter de taper tout ton messages en majuscules, sur le web, ça équivaut à hurler. De plus c'est plus agréable pour te relire. 🙂
Effectivement, selinux permet de mieux sécuriser ton système, si par exemple, un quelqu'un craque ton serveur ftp via une faille, il n'aura accès qu'aux ressources disponibles à ton serveur et ne pourra pas exploiter la faille plus en avant.
je ne suis pas un spécialiste de la sécurité (et encore sur la configuration avancé d'un serveur de production), mais en matière de sécurité, tu ne prends jamais trop de précautions .
Tu peux regarder les manuels de RHEL -la version "commerciale" de fedora- notamment ceux relatifs à la sécurité et à selinux, tldp doit aussi avoir de la doc à ce sujet.
http://www.tldp.org
Le bouquin "Fedora Unleashed" (traduit par Campus Press, il me semble) contient une partie dédié à la sécurité.

grosminet

Mais snort ne doit pas etre installer sur ton serveur
car il ne sert à rien
Il s'agit d'une station serveur linux avec un nombre de carte > 2 pour audit les trafics entre le firewall et le serveur ou le reseau
il se positionne entre l'entrée du firewall et la sortie du firevall
une troisieme carte va vers le serveur
l'interet de pourvoir les adresses mac et de permettre une bascule de secours entre le mode ext et le mode privé
en cas d' attaques
le firewall entre le net et ton serveur doit être réalisé par une machine linux ou ton routeur
mais tout cela ne sont que des outils
il faut faire de l'audit
Pense le problème autrement
1) les services necessaires à mon application
2) analyse des risques
3) mise en place de solution
4) controle de la validité de la solution et surtout de son exploitation
la sécurité se n'est pas une affaire d'outil mais de capacités à utiliser les bons outils
Elle a un cout caché:
ressources humaines
ressources machines
qualité de service reduite
donc un cout non négligeable
un tunnel estg tres facile à créer.
Il y a un tres bon tuto ( tunnel entre VNC)
mais il ne faut pas que ton tunnel sous ouvert en permanence
Il faut ouvrir un tunnel ssh entre ton poste client et le serveur ssh
http://www.fedora-france.org/modules/wiwimod/index.php?page=Connexion+VNC+distante+en+mode+graphique+s%E9curis%E9e+avec+SSH&back=S%E9curit%E9

jupiler

donc tu me conseille d'arrêter les services inutile bien c'est ce que je penser faire.

pour le ftp j'ai trouver ceci pour faire du sftp du ftp sécuriser et crypte je pense que c'est mieux.

pour apache et mysql j'avais pensé le mettre dans un répertoire chroot et en plus chaque personne qui voudrais mettre ses site sur mon pc les chrooter individuellement.

apres je me suis fait un teste du firewall comme il etait d'origine ,mais j'ai vu qu'il ne protege pas bien mon pc comme je voie c'est iptable et netfiler qui serve a blindé l'entrée et la sortie il me faudrait un site qui explique comme écrire les régles et qui me dise a quoi elles servent ou un livre en français.

dans le noyau 2.6.17 est-il deja verrouiller avec grsecurity ??
car j'ai vu que ce correctif etait installé a partir des noyau 2.4.x

pour revenir à snort + snort_inline ou à sort + sortsam dans mon livre il le configure pour un pc personnel et il ne dise pas qu'il y a plusieurs pc .

de toute façon sur ma CM il y a 3 rg45

aussi pour ce proteger des programme comme etercap, dsniff et hunt qui pourrait ce faire passer pour un homme du milieu j'ai trouvé arpwatch qui vérifie les addresse mac/ip

voila comme je voudrais que mon serveur fasse du sftp , du web (avec php et mysql inclu) et une connection vcn car je compte le mettre en production dans un lan server pour en faire profiter tous le monde et moi apprendre a configuer aux mieux un serveur.

merci a tous de vos réponse continué.

VINDICATORs

pour apache mysql...

Tu à la possibiliter de passer par https! il suffit de dire quels répertoires est accéssible par https ou pas!

pour le sftp il me semble que c'est aussi une configuration de ton serveur ftp! En tout cas mes tests, il y a un moment, aller dans ce sens.

jupiler

je saie que je peut passer par https mais sa me protege pas des injections mysql et tout autres façon de pirater un site web

ses pour cela que je ne veut installer que apache +php + mysql
et un serveur sftp et vnc pour les maj et l'administration

comme sécuriter kernel je pense a selinux + grsecurity +iptable

comme port le 80 ,443 et celui sftp et du vnc il faudrait que je touve un script pour iptable et selinux pour cette configuration car je n'aie pas de connaissance asser approfondie pour le faire moi-même.

pour securises apaches je sais que l'on pour utilises mod security et utilises les régles snort pour empecher beaucouq de monvaise action apres convertion des régles j'avais trouver une explication la dessus.

et aussi utiliser tripwire en cas que l'on arrive a changer quelque chose dans le pc .

je sais que snort est un ids mais prelude c'est quoi ??

qui peut me trouver mieux que tous cela toujours en open source .

merci a tous de vos réponse .

continue pour que je puisse un jour peut-être faire un site complet pout toutes personnes qui voudrais ce faire un serveur de production ce raprochant le plus du proffesionnel .
a part qu'il ne disposerais pas de plusieurs machine en double ou en triple mais simplement d'un bon gros pc .

grosminet

Je ne vois pas l'interet de ftp sauf le téléchargement
tu peux acceder par ssh à ton serveur
lancer une session vnc à travers un tunnel sous ssh
le firewall de Fedora en couple avec selinux doit être suffisant
Installation sur ton serveur Fedora FC5 en serveur ssh et Mysql/php
si tu veux une application web modulable sous TOMCAT alors utilise jsp/mysql
Tomcat5, il y a des outils de deployements
Que veut tu dire par professionnel ?
Pour moi, professionnel cela implique un cahier des charges et des programmeurs professionnels et un administrateur systeme, administrateur de base de donnée
Il suffit d'utiliser des outils
il y a des regles de developpements du codage (algo et regle de test controle des entrées)
il y a des regles de conception de base de données ou regles normales
il y a aussi des regles d'administrations quotidiennes
c'est dur à mettre en oeuvre pour une seule personne
Si tu veux réaliser ton premier projet
fais simple
installation sur ton serveur Fedora FC5 en serveur ssh et Mysql/php
le firewall de Fedora en couple avec selinux pour la sécurité et un bon controle journalier des logs