Sécuriser son serveur dédié ?
16 messages • Page 1 sur 2 • 1, 2
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
Sécuriser son serveur dédié ?
le Ven Mar 03, 2006 16:54
Bonjour 
Dans la famille "serveur dédié" je voudrais "sécurité"
Bien bien, voila aujourd'hui, je vais surement faire partager mon serveur dédié avec plusieurs autres sites (le disque étant de 80 go.. je pense que je peux ).
Cependant, je ne veux pas leur bloquer l'acces à PHP donc je voudrais sécuriser au maximum PHP.
La version actuelle de PHP est la 4.3.10-15 .
Voila... si vous avez quelques informations en plus ...
Merci
Dans la famille "serveur dédié" je voudrais "sécurité"
Bien bien, voila aujourd'hui, je vais surement faire partager mon serveur dédié avec plusieurs autres sites (le disque étant de 80 go.. je pense que je peux
).
Cependant, je ne veux pas leur bloquer l'acces à PHP donc je voudrais sécuriser au maximum PHP.
La version actuelle de PHP est la 4.3.10-15 .
Voila... si vous avez quelques informations en plus ...
Merci
le Sam Mar 04, 2006 11:11
Merci pour ta réponse car je vois que peu puissent m'aider (nombre de lectures/nombres de post )
Mais, à quoi sert : "magic_quotes_gpc" ?
De plus, il y a que ca a modifier ?
Tous les parametres des systemes, du genre, éteindre le systeme etc...
Mais vous n'avez pas sinon un lien vers lequel tout est référencé pour vous évitez de tout dire ?
Merci beaucoup !
)
Mais, à quoi sert : "magic_quotes_gpc" ?
De plus, il y a que ca a modifier ?
Tous les parametres des systemes, du genre, éteindre le systeme etc...
Mais vous n'avez pas sinon un lien vers lequel tout est référencé pour vous évitez de tout dire ?
Merci beaucoup !
le Sam Mar 04, 2006 11:22
benjiman a écrit:Mais, à quoi sert : "magic_quotes_gpc" ?
Permet d'achaper par un anti-slash, toutes les quotes ( ' , " ) par sécurité.
http://fr2.php.net/manual/fr/ref.info.p ... quotes-gpc
Après je suis aussi interessé, s'il y a d'autres paramètres à modifier.
le Sam Mar 04, 2006 11:29
benjiman a écrit:Mais, à quoi sert : "magic_quotes_gpc" ?
De plus, il y a que ca a modifier ?
Tous les parametres des systemes, du genre, éteindre le systeme etc...
Ce que je t'ai recommandé permet d'éviter les injections de code dans tes scripts.
Kwiz
le Sam Mar 04, 2006 14:55
benjiman a écrit:Ok !
Merci beaucoup je vais déja le faire.. on verra bien ...
Mais il n'y a pas d'autre chose à modifier comme par exemple, comme j'ai vu la fonction "system" non ?
Je n'en sais pas plus sur la sécurité côté serveur, désolé
Kwiz
le Jeu Mar 09, 2006 8:21
Faudrait que tu installe aussi un firewall
pour entre autre te proteger contre le ping et le ddos
ensuite que tu mette a jour ton serveur
Que tu securise ton accès je suppose ssh avec un clé rsa
et que tu compartiement bien chaque site web que tu va héberger
et aussi php_safe
voila
pour entre autre te proteger contre le ping et le ddos
ensuite que tu mette a jour ton serveur
Que tu securise ton accès je suppose ssh avec un clé rsa
et que tu compartiement bien chaque site web que tu va héberger
et aussi php_safe
voila
le Jeu Mar 09, 2006 12:30
Oui tu as raison il est crypté mais pour évité que tu as inscrire le mot de passe a chaque fois que tu te log, il serait preferable que tu utilise une clé rsa crypée elle aussi
la ta secu serais excelente
la ta secu serais excelente
le Jeu Mar 09, 2006 22:48
Merci d'avoir fait remonter le post ...
Cependant... comment je fais pour avoir un "firewall" sous Debian ?
Sinon, pour php_safe, je suppose que tu veux parler de safe_mode non ?
Encore merci
Cependant... comment je fais pour avoir un "firewall" sous Debian ?
Sinon, pour php_safe, je suppose que tu veux parler de safe_mode non ?
Encore merci
le Jeu Mar 09, 2006 23:05
le Mar Mar 14, 2006 13:51
Bonjour,
Partager son serveur dédié avec d'autres personnes nécéssite pas mal de travail, il y a un certain nombre de chose que je fais par défaut sur un serveur où je met des hébergements mutualisés :
=> Mettre PHP4 et/ou PHP5 en suExec, grâce à suPHP (http://www.suphp.org)
=> Ensuite, comme on te l'as déjà dis, le "register_globals" à Off permet de désactiver une fonctionnalité de PHP dont beaucoups de "développeurs" ont profités sans se soucier des risques que cela entrainait.
=> le "safe_mode" est à mon goût trop restrictif en PHP, je pense que tu devrais plutôt te renseigner autour des options "open_basedir" "disable_functions" (pour "exec" et "system")
=> Assure toi aussi de ne pas leurs donner d'accès SSH : en leurs mettant "/bin/false" en shell
# chsh -s /bin/false USER
Mais bon, faut voir selon ton système, en fonction du /etc/shells, et de ton serveur FTP entre autre pour ne pas avoir d'effets secondaires.
Cordialement,
Partager son serveur dédié avec d'autres personnes nécéssite pas mal de travail, il y a un certain nombre de chose que je fais par défaut sur un serveur où je met des hébergements mutualisés :
=> Mettre PHP4 et/ou PHP5 en suExec, grâce à suPHP (http://www.suphp.org)
=> Ensuite, comme on te l'as déjà dis, le "register_globals" à Off permet de désactiver une fonctionnalité de PHP dont beaucoups de "développeurs" ont profités sans se soucier des risques que cela entrainait.
=> le "safe_mode" est à mon goût trop restrictif en PHP, je pense que tu devrais plutôt te renseigner autour des options "open_basedir" "disable_functions" (pour "exec" et "system")
=> Assure toi aussi de ne pas leurs donner d'accès SSH : en leurs mettant "/bin/false" en shell
# chsh -s /bin/false USER
Mais bon, faut voir selon ton système, en fonction du /etc/shells, et de ton serveur FTP entre autre pour ne pas avoir d'effets secondaires.
Cordialement,
- aspserveur
- Nouveau WRInaute
- Messages: 6
- Inscription: Lun Avr 24, 2006 13:30
Choisir aussi un hébergeur qui propose la sécurité !
le Sam Fév 16, 2008 21:26
La sécurisation d'Apache ne suffit pas car il faut prendre en compte les multiples failles de sécurité du réseau et du serveur en lui même, ne serait-ce que sur les autre services que le protocole HTTP.
Par exemple le serveur de DNS "BIND" est réputé pour être une vraie passoire.
La simple suppression des "quotes" ne suffit pas non plus à éviter toute tentative d'attaque par injection SQL.
1 - Firewalls
Il faut donc utiliser plusieurs couches de sécurité et certains hébergeurs (dont nous même ASPSERVEUR) proposons ce service avec tous nos serveurs dédiés.
Cela consiste tout d'abord à utiliser un Firewall précis, moderne et fiable. Nous utilisons pour notre part les derniers modèles CISCO. Les régles des Firewalls sont modifiables par le client. Les Firewalls sont redondants et prévu pour une très large capacité pour eviter les déni de service. Ces modèles sont très chers mais la sécurité qu'ils apportent est sans commune mesure avec les Firewalls bricolés à partir d'un Linux utilisés par la plupart des hébergeurs.
2 - IPS
L'arme la plus redoutable est sans doute l'IPS pour "Intrusion prevention system"
Ce système permet de bloquer automatiquement l'adresse IP d'un assaillant lorsqu'une signature d'attaque est reconnue sur le réseau. Ce type d'outil contient une base de données de l'intégralité des signatures d'attaques connues.
Là encore les logiciels de la communauté libre comme le plus connu "SNORT" ne suffisent pas car ils écoutent sur un port réseau et ne bloquent l'assaillant qu'après la première attaque ... quand le mal est fait !
Il faut donc que le système soit en amount et ce que propose CISCO avec un module IPS intégré au Firewall qui permet de bloquer l'adresse IP de l'assaillant avant que l'attaque parvienne au serveur.
3 - Dimensionnement des équipements
Il faut aussi que l'hébergeur ne soit pas radin dans le dimmensionnement des équipements réseau.
Si l'équipement est juste une simple attaque par déni de service (beaucoup de petits paquets envoyés sur le réseau) aura rapidement raison du réseau et du Firewall.
4 - Surveillance pro-active
Certains outils tels que NAGIOS permettent aussi de surveiller toute activité anormale (augmentation subite de la bande passante, trop de sessions, trop de petits paquets réseau...). Ces outils doivent-être mis en oeuvre avec des seuils d'alerte qui informent immediatement les ingénieurs sécurité.
5 - Mise à jour du système
Il faut impérativement bien sur que le système utilisé soit toujours parfaitement à jour.
Pour Linux certaines distributions proposent cette option et pour Windows la seule solution qui fonctionne parfaitement est de relier le serveur à un serveur de mises à jour bien configuré qui ordonne un reboot immédiat à Windows après chaque mise à jour critique de sécurité necessistant un redémarrage.
Bref, avec tous ces outils et les conseils d'un véritable hébergeur pro (pas ceux qui prétendent être pro et s'adressent surtout à des particuliers qui font des "home page" lol) vous ne devriez jamais rencontrer de problème de sécurité. Pour ces raisons ASPSERVEUR a été choisi par de nombreuses banques et organismes financiers.
ENDERLE Sébastien
Technical Director
http://www.aspserveur.com
Par exemple le serveur de DNS "BIND" est réputé pour être une vraie passoire.
La simple suppression des "quotes" ne suffit pas non plus à éviter toute tentative d'attaque par injection SQL.
1 - Firewalls
Il faut donc utiliser plusieurs couches de sécurité et certains hébergeurs (dont nous même ASPSERVEUR) proposons ce service avec tous nos serveurs dédiés.
Cela consiste tout d'abord à utiliser un Firewall précis, moderne et fiable. Nous utilisons pour notre part les derniers modèles CISCO. Les régles des Firewalls sont modifiables par le client. Les Firewalls sont redondants et prévu pour une très large capacité pour eviter les déni de service. Ces modèles sont très chers mais la sécurité qu'ils apportent est sans commune mesure avec les Firewalls bricolés à partir d'un Linux utilisés par la plupart des hébergeurs.
2 - IPS
L'arme la plus redoutable est sans doute l'IPS pour "Intrusion prevention system"
Ce système permet de bloquer automatiquement l'adresse IP d'un assaillant lorsqu'une signature d'attaque est reconnue sur le réseau. Ce type d'outil contient une base de données de l'intégralité des signatures d'attaques connues.
Là encore les logiciels de la communauté libre comme le plus connu "SNORT" ne suffisent pas car ils écoutent sur un port réseau et ne bloquent l'assaillant qu'après la première attaque ... quand le mal est fait !
Il faut donc que le système soit en amount et ce que propose CISCO avec un module IPS intégré au Firewall qui permet de bloquer l'adresse IP de l'assaillant avant que l'attaque parvienne au serveur.
3 - Dimensionnement des équipements
Il faut aussi que l'hébergeur ne soit pas radin dans le dimmensionnement des équipements réseau.
Si l'équipement est juste une simple attaque par déni de service (beaucoup de petits paquets envoyés sur le réseau) aura rapidement raison du réseau et du Firewall.
4 - Surveillance pro-active
Certains outils tels que NAGIOS permettent aussi de surveiller toute activité anormale (augmentation subite de la bande passante, trop de sessions, trop de petits paquets réseau...). Ces outils doivent-être mis en oeuvre avec des seuils d'alerte qui informent immediatement les ingénieurs sécurité.
5 - Mise à jour du système
Il faut impérativement bien sur que le système utilisé soit toujours parfaitement à jour.
Pour Linux certaines distributions proposent cette option et pour Windows la seule solution qui fonctionne parfaitement est de relier le serveur à un serveur de mises à jour bien configuré qui ordonne un reboot immédiat à Windows après chaque mise à jour critique de sécurité necessistant un redémarrage.
Bref, avec tous ces outils et les conseils d'un véritable hébergeur pro (pas ceux qui prétendent être pro et s'adressent surtout à des particuliers qui font des "home page" lol) vous ne devriez jamais rencontrer de problème de sécurité. Pour ces raisons ASPSERVEUR a été choisi par de nombreuses banques et organismes financiers.
ENDERLE Sébastien
Technical Director
http://www.aspserveur.com
16 messages • Page 1 sur 2 • 1, 2
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par Julien Coquet, expert certifié officiellement par Google Analytics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Google Secure Access (GSA)
- Web Rank Info ouvre un forum dédié à MSN Search
- Changer d'hébergeur web sans pénaliser son référencement
- Comment créer une page web en PHP
- Nouveau weblog spécial Google
- Découpage du forum webmaster en 2 forums
- Annuaire de sites sur Google
- 3 mythes du référencement sur Google
- Du nouveau du côté des laboratoires de Google : Google Labs
- Les bonnes pratiques pour son site web : le memento
- Serveur Etranger Serveur France : mes conclusions
- serveur mutu=>serveur dédié: à partir de quand ?
- 1 serveur Web et 1 serveur Mail pour le même domaine
- [Serveur dédié] Un gros serveur ou plusieurs 'petits' ?
- Serveur Web et Serveur RED 5 distants
- 301 d'un serveur FR vers un serveur DE
- Transfert Serveur à Serveur par FXP.
- Serveur privé VS serveur dédié
- Transfert de site de serveur à serveur
- [WRI] Changement de serveur : WRI passe sur un serveur dédié
Consultez la description détaillée des produits ou services de Google suivants : Google Web Accelerator
- Analyse de la classe C (adresse IP)
Cet outil vous permet de vérifier si plusieurs sites sont hébergés sur la même classe C (adresse IP du serveur). - Analyse de l'entête HTTP
Cet outil vous permet de connaître le code HTTP renvoyé par le serveur pour une page donnée.
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
- Index du forum
- L’équipe du forum • Supprimer les cookies du forum • Heures au format UTC + 1 heure
- Flux RSS de WebRankInfo :
le forum- les articles des dossiers
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
, traduction par phpBB-fr.com, mod SEO par phpbb-seo.com
Contact
Confidentialité