[Sécurité] Quelques conseils pour sécuriser mon serveur [Fait] [Résolu]

gtraxx · 22/11/2006, 18h43

Bonjour a tous , j'ai une question relevant de plusieurs réponse .
En fait j'ai un souçis quand a la sécurité d'un serveur utilisant php 5.
Quand je dit sécurité je parle bien entendu de php.ini , httpd.conf
j'ai lu le tutorial parlant de cela mais je reste perplex .
Il me faut votre avis professionnelle pour ne plus être hackers 2 fois par semaine

.
En lisant l'article je vois :

safe_mode = on
display_errors = off
log_errors = on
register_globals = off
magic_quotes_gpc = on
magic_quotes_runtime = on

mais j'aimerai me sentir un peux plus en sécurité , la seule que je doit absolument garder activé c'est la fonction mail .

que puis je faire d'autre

Je ne sais pas si beaucoup personne connaisse vhcs2 mais une énorme faille de sécurité au niveau de la connexion a l'administration.
Pourtant nous avons sécuriser cela avec des patchs , derniere version de php et apache , ...... Quelque conseil

vg33 · 22/11/2006, 18h48

Pour le magic_quotes_gpc = on, je suis plutôt contre. Les magic_quotes ne protègent que partiellement des injections SQL. Il vaut mieux gérer les problèmes de sécurité dans ton applic (par mysql_real_escape_string() par exemple)... sauf si à la rigueur tu fais une offre d'hébergement et que tu ne connais pas la qualité des applics.

gtraxx · 22/11/2006, 18h53

oui je suis tout a fais d'accord pour magic_quotes_gpc = off
Comme j'utilise deja la fonction mysql_real_escape_string() cela ne change pas ma façon de procéder mais voyez vous autre chose ???
j'ai entendu de fonction systeme a desactiver

vg33 · 22/11/2006, 18h58

Tu peux t'inspirer des fonctions interdites chez Free : http://faq.free.fr/adsl/5/9/3/8

julp · 22/11/2006, 19h39

open_basedir est intéressant également (je vous laisse le soin de consulter la doc à ce sujet). Par ailleurs, elle serait amenée à remplacer safe_mode à partir de la version 6. Un argument qui penche en faveur de la mise de magic_quotes_gpc à Off, c'est que ces directives devraient également amener à disparaître avec PHP 6.

Il va sans dire que la sécurité ne s'applique pas qu'aux applications mais surtout au système lui-même (permissions, autres services activés, ...). Vous utilisez quel système au juste ?

Julp.

Julien.alkaza · 22/11/2006, 21h47

Un élément crucial selon moi : NE PAS METTRE DE CHMOD 777 DE PARTOUT!!

(excusez pour les majuscules!!)

Certains auteurs de scripts demandent que tous les répertoires soient mis en 777...
Cela est un gros trou béant de sécurité!!!
Il ne faut donner les droits (et seuls les droits nécessaires) qu'au services/user qui en ont besoin...

jpclair · 23/11/2006, 08h04

Il existe un projet d'audit de sécurité qui peut te donner deux ou trois pistes sur la sécurité de ton serveur :
http://wapiti.sourceforge.net/

gtraxx · 23/11/2006, 15h15

merci pour ses precisions je vais renseigner mon administrateur des choses a bloqué

vg33 · 26/11/2006, 14h16

N'oublie pas le tag

22/11/2006, 18h43	#1
gtraxx Membre éprouvé Aurélien Gérits Développeur Web Inscription : mai 2006 Messages : 1 045 Détails du profil Informations personnelles : Nom : Aurélien Gérits Âge : 30 Localisation : Belgique Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : mai 2006 Messages : 1 045 Points : 498 Points : 498	[Sécurité] Quelques conseils pour sécuriser mon serveur Bonjour a tous , j'ai une question relevant de plusieurs réponse . En fait j'ai un souçis quand a la sécurité d'un serveur utilisant php 5. Quand je dit sécurité je parle bien entendu de php.ini , httpd.conf j'ai lu le tutorial parlant de cela mais je reste perplex . Il me faut votre avis professionnelle pour ne plus être hackers 2 fois par semaine . En lisant l'article je vois : safe_mode = on display_errors = off log_errors = on register_globals = off magic_quotes_gpc = on magic_quotes_runtime = on mais j'aimerai me sentir un peux plus en sécurité , la seule que je doit absolument garder activé c'est la fonction mail . que puis je faire d'autre Je ne sais pas si beaucoup personne connaisse vhcs2 mais une énorme faille de sécurité au niveau de la connexion a l'administration. Pourtant nous avons sécuriser cela avec des patchs , derniere version de php et apache , ...... Quelque conseil __________________ Au petit déjeuner, je prend du PHP et au souper du jQuery. AFUP 2009 : Bien optimiser son code pour le référencement Mon projet open source de librairie PHP 5: magix cjquery
	00

22/11/2006, 18h53	#3
gtraxx Membre éprouvé Aurélien Gérits Développeur Web Inscription : mai 2006 Messages : 1 045 Détails du profil Informations personnelles : Nom : Aurélien Gérits Âge : 30 Localisation : Belgique Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : mai 2006 Messages : 1 045 Points : 498 Points : 498	oui je suis tout a fais d'accord pour magic_quotes_gpc = off Comme j'utilise deja la fonction mysql_real_escape_string() cela ne change pas ma façon de procéder mais voyez vous autre chose ??? j'ai entendu de fonction systeme a desactiver __________________ Au petit déjeuner, je prend du PHP et au souper du jQuery. AFUP 2009 : Bien optimiser son code pour le référencement Mon projet open source de librairie PHP 5: magix cjquery
	00

22/11/2006, 21h47	#6
Julien.alkaza Membre confirmé Inscription : octobre 2004 Messages : 240 Détails du profil Informations personnelles : Âge : 26 Localisation : France, Vaucluse (Provence Alpes Côte d'Azur) Informations forums : Inscription : octobre 2004 Messages : 240 Points : 240 Points : 240	Un élément crucial selon moi : NE PAS METTRE DE CHMOD 777 DE PARTOUT!! (excusez pour les majuscules!!) Certains auteurs de scripts demandent que tous les répertoires soient mis en 777... Cela est un gros trou béant de sécurité!!! Il ne faut donner les droits (et seuls les droits nécessaires) qu'au services/user qui en ont besoin... __________________ Admin Réseaux & Systèmes. Red Hat Certified Technician...#604006101698235
	00

23/11/2006, 08h04	#7
jpclair Membre régulier Développeur informatique Inscription : juillet 2006 Messages : 84 Détails du profil Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : juillet 2006 Messages : 84 Points : 94 Points : 94	Sécurité d'un serveur Il existe un projet d'audit de sécurité qui peut te donner deux ou trois pistes sur la sécurité de ton serveur : http://wapiti.sourceforge.net/
	00

23/11/2006, 15h15	#8
gtraxx Membre éprouvé Aurélien Gérits Développeur Web Inscription : mai 2006 Messages : 1 045 Détails du profil Informations personnelles : Nom : Aurélien Gérits Âge : 30 Localisation : Belgique Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : mai 2006 Messages : 1 045 Points : 498 Points : 498	merci pour ses precisions je vais renseigner mon administrateur des choses a bloqué __________________ Au petit déjeuner, je prend du PHP et au souper du jQuery. AFUP 2009 : Bien optimiser son code pour le référencement Mon projet open source de librairie PHP 5: magix cjquery
	00

22/11/2006, 18h48	#2
vg33 Membre Expert Inscription : janvier 2005 Messages : 1 249 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : janvier 2005 Messages : 1 249 Points : 1 417 Points : 1 417	Pour le magic_quotes_gpc = on, je suis plutôt contre. Les magic_quotes ne protègent que partiellement des injections SQL. Il vaut mieux gérer les problèmes de sécurité dans ton applic (par mysql_real_escape_string() par exemple)... sauf si à la rigueur tu fais une offre d'hébergement et que tu ne connais pas la qualité des applics.
	00

22/11/2006, 18h58	#4
vg33 Membre Expert Inscription : janvier 2005 Messages : 1 249 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : janvier 2005 Messages : 1 249 Points : 1 417 Points : 1 417	Tu peux t'inspirer des fonctions interdites chez Free : http://faq.free.fr/adsl/5/9/3/8
	00

22/11/2006, 19h39	#5
julp En attente de confirmation mail Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	open_basedir est intéressant également (je vous laisse le soin de consulter la doc à ce sujet). Par ailleurs, elle serait amenée à remplacer safe_mode à partir de la version 6. Un argument qui penche en faveur de la mise de magic_quotes_gpc à Off, c'est que ces directives devraient également amener à disparaître avec PHP 6. Il va sans dire que la sécurité ne s'applique pas qu'aux applications mais surtout au système lui-même (permissions, autres services activés, ...). Vous utilisez quel système au juste ? Julp.
	00

26/11/2006, 14h16	#9
vg33 Membre Expert Inscription : janvier 2005 Messages : 1 249 Détails du profil Informations personnelles : Localisation : France, Gironde (Aquitaine) Informations forums : Inscription : janvier 2005 Messages : 1 249 Points : 1 417 Points : 1 417	N'oublie pas le tag
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email