Sécuriser son serveur dédié ?
16 messages
• Page 1 sur 2 • 1, 2
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
- benjiman
- WRInaute occasionnel
- Messages: 254
- Inscription: 9 Oct 2005
Sécuriser son serveur dédié ?
le Ven Mar 03, 2006 16:54
Bonjour 
Dans la famille "serveur dédié" je voudrais "sécurité"
Bien bien, voila aujourd'hui, je vais surement faire partager mon serveur dédié avec plusieurs autres sites (le disque étant de 80 go.. je pense que je peux ).
Cependant, je ne veux pas leur bloquer l'acces à PHP donc je voudrais sécuriser au maximum PHP.
La version actuelle de PHP est la 4.3.10-15 .
Voila... si vous avez quelques informations en plus ...
Merci
Dans la famille "serveur dédié" je voudrais "sécurité"
Bien bien, voila aujourd'hui, je vais surement faire partager mon serveur dédié avec plusieurs autres sites (le disque étant de 80 go.. je pense que je peux
).
Cependant, je ne veux pas leur bloquer l'acces à PHP donc je voudrais sécuriser au maximum PHP.
La version actuelle de PHP est la 4.3.10-15 .
Voila... si vous avez quelques informations en plus ...
Merci
- benjiman
- WRInaute occasionnel
- Messages: 254
- Inscription: 9 Oct 2005
le Sam Mar 04, 2006 11:11
Merci pour ta réponse car je vois que peu puissent m'aider (nombre de lectures/nombres de post )
Mais, à quoi sert : "magic_quotes_gpc" ?
De plus, il y a que ca a modifier ?
Tous les parametres des systemes, du genre, éteindre le systeme etc...
Mais vous n'avez pas sinon un lien vers lequel tout est référencé pour vous évitez de tout dire ?
Merci beaucoup !
)
Mais, à quoi sert : "magic_quotes_gpc" ?
De plus, il y a que ca a modifier ?
Tous les parametres des systemes, du genre, éteindre le systeme etc...
Mais vous n'avez pas sinon un lien vers lequel tout est référencé pour vous évitez de tout dire ?
Merci beaucoup !
- thierry8
- WRInaute accro
- Messages: 3251
- Inscription: 11 Juil 2005
le Sam Mar 04, 2006 11:22
benjiman a écrit:Mais, à quoi sert : "magic_quotes_gpc" ?
Permet d'achaper par un anti-slash, toutes les quotes ( ' , " ) par sécurité.
http://fr2.php.net/manual/fr/ref.info.p ... quotes-gpc
Après je suis aussi interessé, s'il y a d'autres paramètres à modifier.
-
Kwiz - Nouveau WRInaute
- Messages: 48
- Inscription: 6 Oct 2004
le Sam Mar 04, 2006 11:29
benjiman a écrit:Mais, à quoi sert : "magic_quotes_gpc" ?
De plus, il y a que ca a modifier ?
Tous les parametres des systemes, du genre, éteindre le systeme etc...
Ce que je t'ai recommandé permet d'éviter les injections de code dans tes scripts.
Kwiz
-
Kwiz - Nouveau WRInaute
- Messages: 48
- Inscription: 6 Oct 2004
le Sam Mar 04, 2006 14:55
benjiman a écrit:Ok !
Merci beaucoup je vais déja le faire.. on verra bien ...
Mais il n'y a pas d'autre chose à modifier comme par exemple, comme j'ai vu la fonction "system" non ?
Je n'en sais pas plus sur la sécurité côté serveur, désolé
Kwiz
- wannabe
- Nouveau WRInaute
- Messages: 23
- Inscription: 8 Mar 2006
le Jeu Mar 09, 2006 8:21
Faudrait que tu installe aussi un firewall
pour entre autre te proteger contre le ping et le ddos
ensuite que tu mette a jour ton serveur
Que tu securise ton accès je suppose ssh avec un clé rsa
et que tu compartiement bien chaque site web que tu va héberger
et aussi php_safe
voila
pour entre autre te proteger contre le ping et le ddos
ensuite que tu mette a jour ton serveur
Que tu securise ton accès je suppose ssh avec un clé rsa
et que tu compartiement bien chaque site web que tu va héberger
et aussi php_safe
voila
- DaviXX
- Nouveau WRInaute
- Messages: 25
- Inscription: 14 Aoû 2005
le Mar Mar 14, 2006 13:51
Bonjour,
Partager son serveur dédié avec d'autres personnes nécéssite pas mal de travail, il y a un certain nombre de chose que je fais par défaut sur un serveur où je met des hébergements mutualisés :
=> Mettre PHP4 et/ou PHP5 en suExec, grâce à suPHP (http://www.suphp.org)
=> Ensuite, comme on te l'as déjà dis, le "register_globals" à Off permet de désactiver une fonctionnalité de PHP dont beaucoups de "développeurs" ont profités sans se soucier des risques que cela entrainait.
=> le "safe_mode" est à mon goût trop restrictif en PHP, je pense que tu devrais plutôt te renseigner autour des options "open_basedir" "disable_functions" (pour "exec" et "system")
=> Assure toi aussi de ne pas leurs donner d'accès SSH : en leurs mettant "/bin/false" en shell
# chsh -s /bin/false USER
Mais bon, faut voir selon ton système, en fonction du /etc/shells, et de ton serveur FTP entre autre pour ne pas avoir d'effets secondaires.
Cordialement,
Partager son serveur dédié avec d'autres personnes nécéssite pas mal de travail, il y a un certain nombre de chose que je fais par défaut sur un serveur où je met des hébergements mutualisés :
=> Mettre PHP4 et/ou PHP5 en suExec, grâce à suPHP (http://www.suphp.org)
=> Ensuite, comme on te l'as déjà dis, le "register_globals" à Off permet de désactiver une fonctionnalité de PHP dont beaucoups de "développeurs" ont profités sans se soucier des risques que cela entrainait.
=> le "safe_mode" est à mon goût trop restrictif en PHP, je pense que tu devrais plutôt te renseigner autour des options "open_basedir" "disable_functions" (pour "exec" et "system")
=> Assure toi aussi de ne pas leurs donner d'accès SSH : en leurs mettant "/bin/false" en shell
# chsh -s /bin/false USER
Mais bon, faut voir selon ton système, en fonction du /etc/shells, et de ton serveur FTP entre autre pour ne pas avoir d'effets secondaires.
Cordialement,
- aspserveur
- Nouveau WRInaute
- Messages: 8
- Inscription: 24 Avr 2006
Choisir aussi un hébergeur qui propose la sécurité !
le Sam Fév 16, 2008 21:26
La sécurisation d'Apache ne suffit pas car il faut prendre en compte les multiples failles de sécurité du réseau et du serveur en lui même, ne serait-ce que sur les autre services que le protocole HTTP.
Par exemple le serveur de DNS "BIND" est réputé pour être une vraie passoire.
La simple suppression des "quotes" ne suffit pas non plus à éviter toute tentative d'attaque par injection SQL.
1 - Firewalls
Il faut donc utiliser plusieurs couches de sécurité et certains hébergeurs (dont nous même ASPSERVEUR) proposons ce service avec tous nos serveurs dédiés.
Cela consiste tout d'abord à utiliser un Firewall précis, moderne et fiable. Nous utilisons pour notre part les derniers modèles CISCO. Les régles des Firewalls sont modifiables par le client. Les Firewalls sont redondants et prévu pour une très large capacité pour eviter les déni de service. Ces modèles sont très chers mais la sécurité qu'ils apportent est sans commune mesure avec les Firewalls bricolés à partir d'un Linux utilisés par la plupart des hébergeurs.
2 - IPS
L'arme la plus redoutable est sans doute l'IPS pour "Intrusion prevention system"
Ce système permet de bloquer automatiquement l'adresse IP d'un assaillant lorsqu'une signature d'attaque est reconnue sur le réseau. Ce type d'outil contient une base de données de l'intégralité des signatures d'attaques connues.
Là encore les logiciels de la communauté libre comme le plus connu "SNORT" ne suffisent pas car ils écoutent sur un port réseau et ne bloquent l'assaillant qu'après la première attaque ... quand le mal est fait !
Il faut donc que le système soit en amount et ce que propose CISCO avec un module IPS intégré au Firewall qui permet de bloquer l'adresse IP de l'assaillant avant que l'attaque parvienne au serveur.
3 - Dimensionnement des équipements
Il faut aussi que l'hébergeur ne soit pas radin dans le dimmensionnement des équipements réseau.
Si l'équipement est juste une simple attaque par déni de service (beaucoup de petits paquets envoyés sur le réseau) aura rapidement raison du réseau et du Firewall.
4 - Surveillance pro-active
Certains outils tels que NAGIOS permettent aussi de surveiller toute activité anormale (augmentation subite de la bande passante, trop de sessions, trop de petits paquets réseau...). Ces outils doivent-être mis en oeuvre avec des seuils d'alerte qui informent immediatement les ingénieurs sécurité.
5 - Mise à jour du système
Il faut impérativement bien sur que le système utilisé soit toujours parfaitement à jour.
Pour Linux certaines distributions proposent cette option et pour Windows la seule solution qui fonctionne parfaitement est de relier le serveur à un serveur de mises à jour bien configuré qui ordonne un reboot immédiat à Windows après chaque mise à jour critique de sécurité necessistant un redémarrage.
Bref, avec tous ces outils et les conseils d'un véritable hébergeur pro (pas ceux qui prétendent être pro et s'adressent surtout à des particuliers qui font des "home page" lol) vous ne devriez jamais rencontrer de problème de sécurité. Pour ces raisons ASPSERVEUR a été choisi par de nombreuses banques et organismes financiers.
ENDERLE Sébastien
Technical Director
http://www.aspserveur.com
Par exemple le serveur de DNS "BIND" est réputé pour être une vraie passoire.
La simple suppression des "quotes" ne suffit pas non plus à éviter toute tentative d'attaque par injection SQL.
1 - Firewalls
Il faut donc utiliser plusieurs couches de sécurité et certains hébergeurs (dont nous même ASPSERVEUR) proposons ce service avec tous nos serveurs dédiés.
Cela consiste tout d'abord à utiliser un Firewall précis, moderne et fiable. Nous utilisons pour notre part les derniers modèles CISCO. Les régles des Firewalls sont modifiables par le client. Les Firewalls sont redondants et prévu pour une très large capacité pour eviter les déni de service. Ces modèles sont très chers mais la sécurité qu'ils apportent est sans commune mesure avec les Firewalls bricolés à partir d'un Linux utilisés par la plupart des hébergeurs.
2 - IPS
L'arme la plus redoutable est sans doute l'IPS pour "Intrusion prevention system"
Ce système permet de bloquer automatiquement l'adresse IP d'un assaillant lorsqu'une signature d'attaque est reconnue sur le réseau. Ce type d'outil contient une base de données de l'intégralité des signatures d'attaques connues.
Là encore les logiciels de la communauté libre comme le plus connu "SNORT" ne suffisent pas car ils écoutent sur un port réseau et ne bloquent l'assaillant qu'après la première attaque ... quand le mal est fait !
Il faut donc que le système soit en amount et ce que propose CISCO avec un module IPS intégré au Firewall qui permet de bloquer l'adresse IP de l'assaillant avant que l'attaque parvienne au serveur.
3 - Dimensionnement des équipements
Il faut aussi que l'hébergeur ne soit pas radin dans le dimmensionnement des équipements réseau.
Si l'équipement est juste une simple attaque par déni de service (beaucoup de petits paquets envoyés sur le réseau) aura rapidement raison du réseau et du Firewall.
4 - Surveillance pro-active
Certains outils tels que NAGIOS permettent aussi de surveiller toute activité anormale (augmentation subite de la bande passante, trop de sessions, trop de petits paquets réseau...). Ces outils doivent-être mis en oeuvre avec des seuils d'alerte qui informent immediatement les ingénieurs sécurité.
5 - Mise à jour du système
Il faut impérativement bien sur que le système utilisé soit toujours parfaitement à jour.
Pour Linux certaines distributions proposent cette option et pour Windows la seule solution qui fonctionne parfaitement est de relier le serveur à un serveur de mises à jour bien configuré qui ordonne un reboot immédiat à Windows après chaque mise à jour critique de sécurité necessistant un redémarrage.
Bref, avec tous ces outils et les conseils d'un véritable hébergeur pro (pas ceux qui prétendent être pro et s'adressent surtout à des particuliers qui font des "home page" lol) vous ne devriez jamais rencontrer de problème de sécurité. Pour ces raisons ASPSERVEUR a été choisi par de nombreuses banques et organismes financiers.
ENDERLE Sébastien
Technical Director
http://www.aspserveur.com
16 messages
• Page 1 sur 2 • 1, 2
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Sécuriser un hébergement dédié ?
- sécuriser un serveur postfix ?
- [article] Sécuriser son serveur LAMP
- Sécuriser serveur contre l'url rewriting
- Serveur dédié ou Serveur Cloud Dynamique chez 1and1
- Serveur dédié ou serveur privé pour mon cas ?
- serveur mutu=>serveur dédié: à partir de quand ?
- [Serveur dédié] Un gros serveur ou plusieurs 'petits' ?
- Serveur privé VS serveur dédié
- [WRI] Changement de serveur : WRI passe sur un serveur dédié
- Référencement vidéo sur Exalead - 11-01-2008
- Comment créer une page web en PHP - 04-08-2008
- Comparer les classes C de 2 adresses IP - 03-09-2004
- Tous les outils à connaître pour analyser un site - 16-09-2004
- Redirection (PHP, JavaScript, serveur...) - 04-07-2003
- Changements de nom de domaine et TrustRank - 18-10-2005
- Aperçu des différents types de redirection - 04-08-2008
- Votre site doit toujours être accessible rapidement : conseil n°7 en référencement - 04-08-2008
Consultez la description détaillée des produits ou services de Google suivants : Google Web Accelerator
- Analyse de la classe C (adresse IP)
Cet outil vous permet de vérifier si plusieurs sites sont hébergés sur la même classe C (adresse IP du serveur). - Analyse de l'entête HTTP
Cet outil vous permet de connaître le code HTTP renvoyé par le serveur pour une page donnée.
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
Contact
Confidentialité