C'est certainement une des permières choses a faire. Il faut penser a faire
correctement le filtrage, c'est a dire en input mais aussi en output. Ceci afin
d'eviter que les ports ne soient visibles avec les scan de type NULL ou XMAS ou
TCP/FIN de nmap.
Pense aussi a sécurisé tes services. Si tu as apache mais par exemple
ServerSignature Off dans le fichier de conf ainsi que ServerTokens Prod pour
masquer la version d'apache et un eventuel php.
Configure correctement ton serveur de mail pour eviter qu'il ne relaye les
mails. Installe eventuellement un aintivirus (Amavis + uvscan (mcaffee)) ou j-
chkmail.
Pour le FTP, utilise plus le SCP ou SFTP (Ftp over ssh). Un client windows est
downloadable gratos sur
www.ssh.com et ca fonctionne nickel avec openssh, ainsi
tu n'as qu'un port d'ouvert pour 2 services.
Pour pop je te conseille de le faire passer par le meta-demon xinetd, c'est
plus secure et ca te permet d'utiliser les fonctionnalité hosts.allow et
hosts.deny ce qui peut etre sympa.
Et pour chaque service bien entendu ne pas les faire fonctionner sous root et
tu peux aussi les installer dans une cage (type chroot) afin d'obtenir un
maximum de sécurité en cas de buffer overflow ou autre.
Sans vouloir declencher de polémiques je conseille et c'est un choix personnel :
Pour le mail : postfix
Pour le ftp (si vraiment tu veux pas faire du ssh) : proftpd
Pour le pop : eventuellement celui livré dans le paquetage imap developpé par
l'Université de Washington (mais la je suis mitigé)
Pour le web : bien evidement apache.
Pour le ssh : openssh (attention de bien installer la derniere version, de
grosses faille dans les anciennes versions. Voir openssh.org)
--
Ika
Selon Philippe B <philippe@???>:
> Je te remercie de ton avis, j'avais envie aussi d'impliquer des regles
> iptables qui autorisent que les ports web qui sont standards (80,21,22 pour
> certaines IPs,25,110) qu'en pensez vous ? bonne ou mauvaise idée ?
>
> Philippe
>
> ----- Original Message -----
> From: "Ismael Touama" <ismael.touama@???>
> To: <guilde@???>
> Sent: Friday, January 03, 2003 11:24 AM
> Subject: RE: Sécurisation de serveurs,
>
>
> > Bonjour à tous et meilleurs voeux,
> >
> > Je ne suis réellement pas un expert mais un IDS c'est un
> > des meilleurs remparts contre les backdoors.
> > Une serveur web est une porte ouverte à ton réseau, donc....
> > Ensuite pour checker il faut un scanner de port (genre nmap me
> semble-t-il).
> >
> > Bonne journée,
> > ism
> >
> >
> > -----Message d'origine-----
> > De : Philippe B [mailto:philippe@beau.nom.fr]
> > Envoyé : vendredi 3 janvier 2003 11:15
> > À : guilde@???
> > Objet : Sécurisation de serveurs,
> >
> >
> > Bonjour,
> >
> > Une petite question assez "bête". Quelle est la meilleure méthode pour
> > "checker" au maximum la sécurité d'un serveur ? est-il indispensable
> > d'installer un IDS sur des serveurs Webs ?
> >
> > Merci d'avance,
> >
> > Philippe
> >
> >
>
>
--
Ika