Protection d'un serveur

**Spami** · 12/04/2011, 08h57

Bonjour, je suis un peu novice pour ce qui est de la sécurité.
Et je dois trouver des moyen de sécuriser le plus possible un serveur web(qui n'est pas destine a etre utilise par tout le monde).
Voila a quoi j'ai déja pensé:

- du monitoring (nagios & uptimerobot)
- des programmes comme fail2ban, …
- supprimer la signature des programmes qui tournent (nginx, postfix, ...)
- utilisation de firewall contre les DDOS et le DOS
- utilisation de PDO Statements et de Mysql Proxy pour la prévention des injections SQL
- Changer le port du serveur http et mysql
- empêcher la connexion en ssh en root.

Qu'en pensez vous ?

PS: le serveur tournera sous debian(Bon ou mauvais choix ?)

**gangsoleil** · 12/04/2011, 11h42

Bonjour,

Pour la distribution, pourquoi ne pas prendre OpenBSD, qui est reputee bien plus securisee que Debian ?

Sinon, je m'attarde sur le fait que le serveur web ne puisse pas etre utilise par tout le monde : tu veux que seules quelques personnes y aient acces, par exemple via login et mot de passe, ou bien via leur IP ?

- Changer le port du serveur http et mysql

Non : utiliser https, et ne pas autoriser de connexion distante a la base de donnee (toute requete doit passer par le site web, qui authentifie les utilisateurs).

**moomba** · 12/04/2011, 11h43

Bonjour,

Tu peut aussi utiliser un système de port-knocking pour le serveur ssh. C'est une bonne protection et facile à mettre en place.

Changer le port du serveur http, je doute que tu puisses si tu veut que ton serveur web puisse être utilisé par des utilisateurs lambda sur internet (port 80 par défaut).

Niveau sécurité, Debian à l'avantage de n'utiliser que des versions dites "stables" des logiciels. Cependant, tu auras plus de difficultés à obtenir les dernières versions (contrairement à Ubuntu ou Mandriva). Cela dépend de ce que tu cherches vraiment.

Voilà voilà, petite contribution

Bon courage

**Spami** · 12/04/2011, 13h11

Merci a vous deux pour votre contribution.

Envoyé par gangsoleil

Bonjour,

Pour la distribution, pourquoi ne pas prendre OpenBSD, qui est reputee bien plus securisee que Debian ?

Effectivement j'ai fais pas mal de recherche et je penses que je vais m'orienter vers cette distribution

Envoyé par gangsoleil

Sinon, je m'attarde sur le fait que le serveur web ne puisse pas etre utilise par tout le monde : tu veux que seules quelques personnes y aient acces, par exemple via login et mot de passe, ou bien via leur IP ?

Je ne peux pas le faire par IP. Je le ferais donc via login et mot de passe.
Sinon effectivement. Ce qui sera sur le serveur n'est pas destine au grand public mais uniquement a certaine personne.

Envoyé par gangsoleil

Non : utiliser https, et ne pas autoriser de connexion distante a la base de donnee (toute requete doit passer par le site web, qui authentifie les utilisateurs).

Effectivement après réflexion c'est ce que je compte faire.

Envoyé par moomba

Bonjour,

Tu peut aussi utiliser un système de port-knocking pour le serveur ssh. C'est une bonne protection et facile à mettre en place.

Je ne connaissais pas. C'est excellent !

Envoyé par moomba

Changer le port du serveur http, je doute que tu puisses si tu veut que ton serveur web puisse être utilisé par des utilisateurs lambda sur internet (port 80 par défaut).

Ils n'auront l'url que par email. Il leur suffira donc de cliquer sur un lien sans réfléchir pour y accéder.

Envoyé par moomba

Voilà voilà, petite contribution

Bon courage

Merci !

Sinon, on vient de me conseiller de faire authentification au site que par l'équivalent du htaccess de nginx.