Re: Securite hebergement perso dolibarr

Top Page

Reply to this message
Author: Aurélien Grosdidier
Date:  
To: guilde
Subject: Re: Securite hebergement perso dolibarr
Encore plus radical que tout cela, suivant la marge que tu as: tu ne
rends pas ton installation de Dolibarr accessible sur internet, mais
uniquement à travers un VPN. Une installation d'OpenVPN, identifiant les
clients par des certificats, avec firewall et fail2ban ou équivalent, en
plus d'écouter sur un port non standard, c'est solide.

Ça c'est pour la prévention.

Ensuite, une surveillance attentive des logs, par exemple avec logwatch.
Une recherche périodique de rootkits, type tiger ou rkhunter. Les
alertes en temps réel sont précieuses.

Ça c'est pour la détection.

Contacter les propriétaires des adresses IP que tu attrapes dans tes filets.

Ça c'est pour la réponse.

Après, c'est l'escalade: un NIDS type snort par exemple, sur une Pfsense
qui filtre le trafic entrant, facile et très efficace... mais c'est sans
fin, à toi de mettre le curseur suivant ton threat model.

Aurel.

On 12/01/15 19:29, ALD wrote:
>
> Le 12/01/2015 19:14, Frédéric a écrit :
>> Le Monday 12 January 2015, ALD a écrit :
>>
>>> Avant d'ouvrir Dolibarr au monde, j'aimerai connaitres les problemes
>>> potentiels que je peux rencontrer.
>> Ben, te faire pirater ton PC, et tout contenu, pardi !
>
> oui, j'aurais du préciser "les problemes potentiels non évidents que je
> peux rencontrer" ;-))
>
>>
>> Il faut bien suivre les forums de Dolibarr, et faire les mises à jour
>> de sécurité s'il y en a.
>>
>> Tu peux aussi le mettre sur une arborescence alakon ; sans lien depuis
>> une quelconque page publique, peut de chance que le gars tombe dessus.
>
> tu veux dire une page oueb qui sert d'écran de fumée sur laquelle il y a
> un lien? ce n'est pas détectable le lien?
>
>>
>> Autre truc efficace : tu utilises un port non standard (genre 24680),
>> redirigé en interne sur le port 80 de ta machine ; jamais vu de scan de
>> ces ports (y'a assez de passoires sur les ports standards pour que les
>> gars ne s'emmerdent pas à scanner les 65535 ports !).
>
> oui, le coup du port non standard j'y avais pensé
>