Re: Securite hebergement perso dolibarr

Top Page

Reply to this message
Author: Vincent Caron
Date:  
To: guilde
Subject: Re: Securite hebergement perso dolibarr
On 12/01/15 19:06, ALD wrote:
> Avant d'ouvrir Dolibarr au monde, j'aimerai connaitres les problemes
> potentiels que je peux rencontrer.


Hello,

1/ en première instance, tu peux facilement être sujet à un DoS; il
suffit de lancer un 'ab' (Apache bench) sur /index.php pour commencer à
sérieusement consommer du CPU sans que l'attaquant ait besoin de
beaucoup de bande passante; en particulier la combinaison par défaut
Apache-prefork + PHP en module + MaxClients=150 est une tuerie, ton
serveur peut s'écrouler sous la charge à chaque moment. Je recommande
fortement mod_fcgi + PHP en (fast)CGI, où tu limites l'usage à une
petite poignée de processus PHP.

2/ il y a toujours des trous de sécu dans une appli web; au pire ça
pourra exploiter le compte qui exécute PHP (en général www-data), et il
faut s'assurer que ça ne déborde pas de ce compte : désactiver 'su -' ou
ne pas mettre de mdp root. En général les attaques sont faites par des
bots et servent à "botifier" ton serveur, pour spammer ou DoSer; c'est
extrêmement rare de se faire attaquer pour se faire voler ou détruire
ses données, il faut avoir un ennemi intime pour ça (Sony<->Corée :))

3/ ne donne que l'accès en HTTPS et rajoute un bête login/pass avec de
l'auth basique (cf.
http://httpd.apache.org/docs/2.2/fr/howto/auth.html); ça bloquera
99,999% des attaques. Dit aussi "VPN du pauvre" :). Tu transmet un
login/pass unique à tes utilisateurs au lieu de gérer une PKI.

4/ installe l'appli avec un compte différente de celui avec lequel
elle s'exécute; et ne lui donne les droits d'écriture que là où c'est
nécessaire. Ca évite qu'un attaquant modifie l'appli. Bien entendu ça
n'empêche pas un attaquant de déposer du code, mais ça c'est
virtuellement imbloquable (ne serait-ce que parce que quasiment rien
fonctionne sans un /tmp globalement dispo en écriture)

5/ met à jour régulièrement l'appli PHP. Pas forcément à chaque
release (même si c'est mieux), mais planifie maintenant dans ton
calendrier une date pour effectuer la maj, par ex dans 6 mois. Une seule
maj par an te place déjà bien au-dessus de la moyenne.