Re: Encore Hacké...

Page principale

Répondre à ce message
Auteur: kazymodo
Date:  
À: guilde
Sujet: Re: Encore Hacké...
Stéphane Morico wrote:

> Adrien Revol a écrit :
>
>> Pour sécuriser le tout tu peux toujours lancer apache dans un chroot
>> où il n'y a que les commandes de base ...
>>
> Oui, le chroot offre un bon niveau de protection...
> Mais une fois installé... Sécuriser le chroot !


SELinux dans le meme style et plus fin mais qui dit fin dit plus délicat
a configurer pour un serveur avec PHP et création de fichiers au vol, etc.
Mais ça oblige a réfléchir a ce qu'on fait, où, comment, avec quoi et qui.

> Juste un autre petit conseil de base au passage (pour les exploits) :
> Mettre ServerSignature à Off dans httpd.conf pour ne pas donner ta
> version d'apache à tous le monde !


C'est un bon début mais ça ne suffit pas, en particulier avec PHP qui
peut être assez causant.
D'autre part, il peut trainer des bannières, dont celle de ssh, qui
permettent d'en savoir pas mal sur un système, même si elles ne
permettent pas de lister un chapelet de modules apache présents, en effet !

Avec apache, le module mod_security est certainement à considérer pour
filtrer ce qu'on veut (ou ne veut pas) laisser passer dans la query
string, les formulaires, plus d'autres fonctionnalités intéressantes.
Ce module est un garde fou contre le codage de CGI, script PHP qui
introduit potentiellement des faiblesses dans un système même
convenablement sécurisé et mis à jour à partir du moment où il est
accessible depuis l'extérieur par la mise à disposition d'une
intéractivité pas forcément des mieux ficelées et maitrisée à un monde
plein de méchants :)
Visiter http://www.modsecurity.org/ et puis consulter les liens
disponibles à partir de ce site pour obtenir des infos sur la
sécurisation Apache, PHP, etc. AMHA, c'est très instructif.

Pour le cas particulier qui occupe Jean-Marc, il semblerait que
http://www.modsecurity.org/blog/archives/2004/12/mod_security_an.html
puisse être intéressant ;)

En hopant que ça help,

Yves.