Re: Sécurisation de serveurs - suite

Pàgina inicial

Reply to this message
Autor: Philippe B
Data: 2003-01-03 11:01 -000
A: Ika OSCAOS, guilde
Assumpte: Re: Sécurisation de serveurs - suite
Pour ma part, voici la procédure que je suis en train de mettre en place :

POP / SMTP : qmail/vpopmail
SSH : Openssh bien sur :-)
Apache : safe_mode activé sur php, et séparé
FTP : vsftp, mais j'hésites encore ... (le pb, étant que le ftp doit etre
accessible ... )

et regles iptables bien sur comme je le disais, ainsi qu'un IDS type
Snort, qu'en pensez vous ? sachant que la connexion sur la machine ne se
fait principalement par une clé ssh de 2048 bits (mise à jour automatiques
des packages le pied :D )

Philippe


----- Original Message -----
From: "Ika OSCAOS" <ikaos@???>
To: <guilde@???>
Sent: Friday, January 03, 2003 11:28 AM
Subject: Re: Sécurisation de serveurs - suite


> C'est certainement une des permières choses a faire. Il faut penser a

faire
> correctement le filtrage, c'est a dire en input mais aussi en output. Ceci

afin
> d'eviter que les ports ne soient visibles avec les scan de type NULL ou

XMAS ou
> TCP/FIN de nmap.
> Pense aussi a sécurisé tes services. Si tu as apache mais par exemple
> ServerSignature Off dans le fichier de conf ainsi que ServerTokens Prod

pour
> masquer la version d'apache et un eventuel php.
> Configure correctement ton serveur de mail pour eviter qu'il ne relaye les
> mails. Installe eventuellement un aintivirus (Amavis + uvscan (mcaffee))

ou j-
> chkmail.
> Pour le FTP, utilise plus le SCP ou SFTP (Ftp over ssh). Un client windows

est
> downloadable gratos sur www.ssh.com et ca fonctionne nickel avec openssh,

ainsi
> tu n'as qu'un port d'ouvert pour 2 services.
> Pour pop je te conseille de le faire passer par le meta-demon xinetd,

c'est
> plus secure et ca te permet d'utiliser les fonctionnalité hosts.allow et
> hosts.deny ce qui peut etre sympa.
> Et pour chaque service bien entendu ne pas les faire fonctionner sous root

et
> tu peux aussi les installer dans une cage (type chroot) afin d'obtenir un
> maximum de sécurité en cas de buffer overflow ou autre.
> Sans vouloir declencher de polémiques je conseille et c'est un choix

personnel :
> Pour le mail : postfix
> Pour le ftp (si vraiment tu veux pas faire du ssh) : proftpd
> Pour le pop : eventuellement celui livré dans le paquetage imap developpé

par
> l'Université de Washington (mais la je suis mitigé)
> Pour le web : bien evidement apache.
> Pour le ssh : openssh (attention de bien installer la derniere version, de
> grosses faille dans les anciennes versions. Voir openssh.org)
>
> --
> Ika
>
> Selon Philippe B <philippe@???>:
>
> > Je te remercie de ton avis, j'avais envie aussi d'impliquer des regles
> > iptables qui autorisent que les ports web qui sont standards (80,21,22

pour
> > certaines IPs,25,110) qu'en pensez vous ? bonne ou mauvaise idée ?
> >
> > Philippe
> >
> > ----- Original Message -----
> > From: "Ismael Touama" <ismael.touama@???>
> > To: <guilde@???>
> > Sent: Friday, January 03, 2003 11:24 AM
> > Subject: RE: Sécurisation de serveurs,
> >
> >
> > > Bonjour à tous et meilleurs voeux,
> > >
> > > Je ne suis réellement pas un expert mais un IDS c'est un
> > > des meilleurs remparts contre les backdoors.
> > > Une serveur web est une porte ouverte à ton réseau, donc....
> > > Ensuite pour checker il faut un scanner de port (genre nmap me
> > semble-t-il).
> > >
> > > Bonne journée,
> > > ism
> > >
> > >
> > > -----Message d'origine-----
> > > De : Philippe B [mailto:philippe@beau.nom.fr]
> > > Envoyé : vendredi 3 janvier 2003 11:15
> > > À : guilde@???
> > > Objet : Sécurisation de serveurs,
> > >
> > >
> > > Bonjour,
> > >
> > > Une petite question assez "bête". Quelle est la meilleure méthode pour
> > > "checker" au maximum la sécurité d'un serveur ? est-il indispensable
> > > d'installer un IDS sur des serveurs Webs ?
> > >
> > > Merci d'avance,
> > >
> > > Philippe
> > >
> > >
> >
> >
> --
> Ika
>