Re: Securite hebergement perso dolibarr

Page principale

Répondre à ce message
Auteur: Xavier Belanger
Date:  
À: Guilde
Sujet: Re: Securite hebergement perso dolibarr
Bonjour,

> Ben, non, sauf si ce qui est en dessous (dans l'arborescence) la rend
> visible. Par une autre faille de sécurité, par exemple.
>
> Mais s'il n'y a que Dolibarr, si tu l'installes dans un répertoire
> genre :
>
> /var/www/truc/muche/machin/chouette/dolibarr
>
> ça va être difficile à retrouver ;o)


Oui mais non : si une page est visible sur le web, alors il y aura
forcément quelqu'un ou quelque chose qui finira par la trouver ;
le nom du répertoire sur le système de fichiers n'ayant aucune
importance.

Si le serveur fonctionne sur le port TCP/80|443 (HTTP|S), ça ne coûte
pas grand chose d'ajouter un fichier robots.txt même si ça n'apporte
pas de grande garantie (au moins de ne pas apparaître dans les
résultats de recherche, en particulier quand des hurluberlus font
des recherches sur les fichiers d'application web).

- robots.txt : http://fr.wikipedia.org/wiki/Robots.txt

Mettre en place une redirection de ports, pour rendre le service sur
un port autre que TCP/80|443 peut fonctionner, mais il faut être
certain que les clients sauront accéder au service "correctement"
et qu'ils ne passeront pas par des intermédiaires bloquants (proxy,
"filtre parental", "Web Truc Security++" proposé par un antivirus ou
un FAI, réseau public restrictif n'autorisant que TCP/80 et TCP/443,
la liste est longue).

Dans tous les cas une couche de chiffrement serait la bienvenue pour
éviter que tout se balade en clair : selon le niveau technique des
clients on peut envisager d'utiliser un certificat auto-signé et
soit demander au client "d'ajouter une exception" (après vérification
tout de même) soit de donner un fichier .crt à ajouter au magasin
de certificats. Si tout cela n'est pas envisageable, il faudra alors
demander un certificat "officiel" à un tiers (autorité de
certification). Cela peut coûter des sous, de manière récurrente.

En ce qui concerne Apache : optionnel, mais changer quelques directives
peut améliorer les choses (ServerSignature Off, ServerTokens Prod, ...).
Bien évidemment, tenir Apache, PHP, *SQL et compagnie à jour.

Consulter les journaux du serveur web est fastidieux, mais est néanmoins
recommandé. S'il y a des pénibles qui tentent d'accéder sans être
autorisés, il est toujours possible de se plaindre via 'abuse' mais
c'est souvent un coup d'épée dans l'eau. Du filtrage avec iptables
ou autre permet de s'épargner quelques migraines.

La solution de VPN déjà discutée est clairement la meilleur possibilité
à mon goût mais demandera un peu de temps de mise en place. Au final
cela évitera un bon nombre de tracas évoqués précédemment.

> Attention, tu vas faire du cloud :)


Moi j'appelle ça de l'administration système :-)

A+
--
Xavier Belanger