Adrien Revol a écrit :
>Pour sécuriser le tout tu peux toujours lancer apache dans un chroot où il n'y a
>que les commandes de base ...
>
Oui, le chroot offre un bon niveau de protection...
Mais une fois installé... Sécuriser le chroot !
(Voir l'article
http://www.miscmag.com/articles/index.php3?page=1008 de
l'excellent MISC*... Certains patchs sont pêut être intégré depuis
suivant ta distrib et surtout la version du noyau que tu utilises...)
* (Désolé pour cette honteuse PUB :)
Juste un autre petit conseil de base au passage (pour les exploits) :
Mettre ServerSignature à Off dans httpd.conf pour ne pas donner ta
version d'apache à tous le monde !
Ca évite que n'importe-qui fasse un copier-coller du logiciel ou
modules+version que tu utilises dans le moteur de recherche de
securityfocus et télécharge l'exploit qui va avec ...
C'est la premiere chose à faire lorsque tu installes un service
accessible depuis l'exterieur...
Exemple avec l'option à On :
$telnet 127.0.0.1 80
> HEAD / HTTP/1.0
HTTP/1.1 200 OK
Date: Wed, 24 Aug 2005 07:51:04 GMT
Server: Apache/1.3.33 (Debian GNU/Linux) PHP/4.4.0-1
(Ce sont les mêmes infos que tu peut avoir depuis un navigateur si par
exemple tu n'a pas spécifié de page 404 et que tu demandes toto.html...)
