Votre avis pour ma conf de sécurité

[DKreeK]

Salut à tous,

Je dois remettre à plat mon serveur pour différente raison. A ce jour, la sécurité n'est pas ce que j'avais mis en evidence mais là je profite de cette remise à zéro pour essayer de faire les choses comme il faut. J'aurais aimé avoir votre avis sur ce que je vais installé, si vous avez des conseils à m'apporter ou des remarques à faire :

- Installation d'une Debian Etch, le serveur fera office de Serveur Web
- Pour la partie web : Installation d'apache2 (que je vais chrooter), mysql5, php5, proftpd (avec support mysql)
- Pour la partie messagerie : Installation de postfix (avec SSL pour les chiffrements SMTP), Amavis, Spamassassin, RoundCube (Webmail), Courier : POP3 et IMAP (avec SSL)
- Pour la partie sécurité : iptable, changement de port SSH et réduire la liste des user pouvant se connecter, logwatch, rkhunter, fail2ban. Enfin pour l'administration à distance, si je n'ai pas accés à SSH je vais installer OpenVPN + Webmin (accés limité aux IP local) qui me permettra de me connecter depuis mon teléphone portable en VPN et d'administrer au besoin le serveur.

Enfin, quelques questions
Question pour le serveur FTP. J'utilise et je souhaiterais continuer à utiliser proftp avec la config mysql que je trouve trés pratique. Seulement quel est la différence entre RSSH (Protocol SFTP) et Proftpd + SSL ?
Quand est-il des IDS ? Je connais Snort de nom, cella vaut-il le coup de l'installer, quel sont les apports ?
J'ai entendu parler de la libpam_cracklib, que cella apport-il ?

Merci d'avance

[Leeloo_Multiboot]

Code :

Quand est-il des IDS ? Je connais Snort de nom, cella vaut-il le coup de l'installer, quel sont les apports ?

La taille de ton réseau étant limité, il n'y a pas grand intérêt à installer un IDS.
Il va déjà faire office de serveur web et serveur mail. Pas la peine de monter une usine à gaz.
Qui plus est, dans la philosophie des IDS, la sonde Snort se doit d'être "invisible" sur le réseau. Si tu l'installes sur ton serveur web, qui sera en première ligne (quoique tu n'as pas détaillé la config de ton réseau), tu risques d'avoir un nombre conséquent de remontées d'alertes.
Cela risquerait de miner les perfs de ton serveur.

Il serait plus judicieux d'installer un petit serveur faisant office de passerelle/firewall avec Shorewall pour une configuration d'Iptables aisée et solide.
Si tu ne disposes pas d'une autre machine nous la main, un serveur Apache et une configuration Iptables blindés niveau sécurité devrait suffire.

Bonne config,

Robin

[DKreeK]

Bonjour,

Je n'ai qu'un seul serveur dédié que je loue. Je n'ai donc pas besoin d'un IDS qui risque plus de ralentir la machine qu'autre chose si j'ai bien compris.

Merci pour l'info et sinon quelqu'un pourrait me dire pour RSS vs Proftpd+SSL ?

[rberthou]

Au niveau sécurité j'ajouterai :
- SSH avec certificat en desactivant les autres acces (root bien sur sur autre machine que la console et interdire tous acces sans certificat)
- Utilisation de tunnels SSH pour admin distante de Mysql ou autre.

[Manumation]

En temps normal, on installe un IDS sur un serveur dédié en amont du réseau.

Et pour la sécurité, n'oublie pas de correctement régler les droits des utilisateurs locaux sur les différents dossiers de ton serveur...