J'ai fait un serveur maison, j'ai configuré le pare-feu (WEB, SSH, MAIL, MYSQL) je crois que c'est tout.
J'ai aussi configuré SSH pour n'avoir que la possibilité de se connecter par clés privée et pas par mot de passe.
Jusque là je ne vois pas où il pourrait y avoir de failles.
Pour finir j'ai mis tous les dossiers en "0700"(sauf exception), puis les fichiers en "0500"(lecture et exécution), ainsi que le nom du groupe et de l'utilisateur à "www-data".
Mais je me suis posé une question, est-ce que n'importe qui pourrait modifier ces droits en utilisant Apache par le biais de PHP ou autre, et dans ce cas il pourrait tout modifier et tout casser
Et si vous avez d'autre suggestions de sécurisation je suis preneur.
Bien à vous,
Un jeune sécuritarisme, pour ses super projets WEB
Ajout :
1 - Quand je dit "que n'importe qui pourrait modifier ces droits" je parle des applications, mais si il y a un autre moyen, ça serait sympathique de m'en faire part.
- Edité par Accraugaming 23 juin 2019 à 13:28:53
DEUS·MEUMQUE·JUS
Quand l'univers s'en·mêle alors le chat joue à la pelote.
Si tes applications tournent avec les droits root et sont piratables, il aura tous les droits.
Si elles tournent avec des droits restreints, il aura des droits restreints tant qu'il n'utilisera pas une autre faille pour faire une élévation de privilèges.
En gros, tu ne risques pas grand chose si tu a s laissé la conf par défaut d'apache et que tes applis web sont pas truffées de formulaires non testés.
Pourquoi rendre le serveur SQL accessible dans le firewall ?
- J'ai activé le mod SSL et j'ai utilisé le fichier par défaut (/etc/apache2/sites-available/000-default.conf)
- J'avais oublié le coup des mise à jour Apache qui peut remplacer "000-default.conf", je vais donc le nommer autrement.
J'ai rajouté à la suite le port 443 avec les ligne par défaut d'apache (ce sont les deux ligne de clès SSL par défaut, puis-je les utiliser sans problèmes ?) :
Sinon pour renforcer la sécurité tu peux utiliser l'outil fail2ban. Pour faire simple il analyse les logs (ex : logs apache, logs ssh, ..) et utilise iptables pour bloquer les tentatives d'attaques.
J'essaie d'installer le moins de logiciel possible, donc je pense que "iptables-persistent" n'est pas nécessaire, mais c'est à retenir.
J'ai déjà entendu parler de "fail2ban", j'essaierais d'en apprendre un peu plus par la suite.
Je garderais ça dans mes favoris
QUESTION :
- (DNS et PHP) Je me posais une question (Changer l'IP du serveur à utiliser, dynamiquement avec PHP),
j'ai un nom de domaine "truc.fr" qui pointe vers une adresse du genre 96.125.12.55,
mais cela serait juste une simple application temporaire(salle d'attente) pour pouvoir être rediriger vers une autre adresse IP Publique ou Locale.
Serait il possible en vérifiant si "192.168.1.39?exist" de changer l'adresse IP du serveur utilisé (86.59.102.5,publique ou 192.168.1.39,locale) tout en restant sur le nom de domaine "truc.fr"
En gros, si le serveur est en local on reste sur truc.fr avec l'adresse 192.168.1.39 et si le serveur local ne répond pas alors on reste sur truc.fr, mais avec l'adresse 86.59.102.5.
En espérant avoir était assez clair.
- Edité par Accraugaming 3 juillet 2019 à 10:25:20
DEUS·MEUMQUE·JUS
Quand l'univers s'en·mêle alors le chat joue à la pelote.
J'imagine que l'adresse IP publique 96.125.12.55 est ta box internet qui route les flux WEB et SSH vers ton serveur local 192.168.1.39. Si c'est bien le cas et que tu as une autre machine chez toi tu peux faire de la répartition de charge avec Apache. Fait un routage de ta box 96.125.12.55 vers cette machine. Celle dernière se chargera de faire le load balancing vers 86.59.102.5 et 192.168.1.39 .
L'équilibrage de charge(parfois appelérépartition de chargeou en anglaisload balancing) consiste à distribuer une tâche à un pool de machines ou de périphériques afin :
de lisser le trafic réseau, c'est-à-dire de répartir la charge globale vers différents équipements ;
de s'assurer de la disponibilité des équipements, en n'envoyant des données qu'aux équipements en mesure de répondre, voire à ceux offrant le meilleur temps de réponse.
Ce type de mécanisme s'appuie sur un élément, appelé répartiteur de charge (en anglais load balancer) chargé de distribuer le travail entre différentes machines.
---
Si par contre tu veux juste tester ton application dans ton LAN en attendant de le mettre en production, tu peux assigner localement le domaine truc.fr à l'adresse IP 192.168.1.39 . Par exemple sous Linux tu édites le fichier /etc/hosts de ton poste de travail en y ajoutant l'entrée suivante :
192.168.1.39 truc.fr
Une fois les tests terminés tu supprimes la ligne. Sinon tu peux aussi gérer un serveur DNS pour ton LAN, mais c'est costaud pour pas grand chose .
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
DEUS·MEUMQUE·JUS
Quand l'univers s'en·mêle alors le chat joue à la pelote.
Stéphane, la traversée des sens
DEUS·MEUMQUE·JUS
Quand l'univers s'en·mêle alors le chat joue à la pelote.
Stéphane, la traversée des sens
GNU/Linux SysAdmin - un blog sur les lignes de commande GNU/Linux (mikael-flora.fr)
DEUS·MEUMQUE·JUS
Quand l'univers s'en·mêle alors le chat joue à la pelote.
Stéphane, la traversée des sens
GNU/Linux SysAdmin - un blog sur les lignes de commande GNU/Linux (mikael-flora.fr)