Bonsoir (bonjour),
Après une longue utilisation de Plesk sans aucun souci, hormis une forte consommation. Je me suis décidé à configure mon serveur LAMP moi même pour mieux connaitre Linux (debian et centos). Je voudrais votre avis afin de me dire si les choix que j'ai effectués sont corrects.
Parfeu (firewall) :
Autorise toutes les données sortantes
Bloc tout les donnés entrant sauf :
- port 80
- ports 22 (uniquement mon IP, celle de mon hébergeur, celle d'un sou domaine (au cas ou mon IP ne serais plus fixe).
- port 21 (idem)
- ports icmp (ping illimité sur les IP de mon hébergeur, mon IP, les autres une fois toutes les 2 secondes maximum)
SSH :
l'identification par password est désactivée, seule l'authentification par clef est autorisée.
Apache :
Création du groupe et utilisateur apache avec des droits limités.
Seuls les modules nécessaires sont activés, fail2ban est configuré pour apache, j'hésite à installer le mod_security d'apache (auriez-vous un avis le concernant ?). Apache est chrooter pour éviter tout souci
J'ai prinicpalement suivis ce tuto : http://www.symantec.com/connect/arti...he-2-step-step
PHP :
Pareil uniquement les modules nécessaires, les applications sont correctement programmés peu de risque d'avoir une injection xss, mysql
J'ai suivis uniquement ce tuto : http://www.symantec.com/connect/arti...-php-step-step
Serveur SQL (mysql) :
Création du groupe et utilisateur de mysql avec des droits limité.
Compte mysql valide uniquement pour le domaine demander, mysql est également chrooter.
J'ai suivi principalement ce tutti : http://www.symantec.com/connect/arti...ysql-step-step
Dossiers TMP :
J'ai créé une partition dédier de 4 gigas, limiter les droits pour exécuter les fichiers au sein de se dossier sachant que la fonction exec(): de PHP est désactivé.
J'ai suivi à la lettre ce tuto : http://www.securecentos.com/basic-security/secure-tmp/ (sauf pour la taille la taille de la partition).
DNS :
Je me sers du serveur DNS d'OVH, je n'utilise donc pas Bind9.
Logiciel de détection :
Chkrootkit, fail2ban, RKhunter.
FTP :
Je ne suis pas encore décidé, mais je pense prendre Proftpd. Au niveau de la configuration, si j'ai bien compris suffit de créer des utilisateurs sans aucun droit. D'ajouter "DefaultRoot ~" a la fin du dossier et il est sécuriser ? Sachant que je bloque l'accès aux autres sur le port 21.
Configuration systeme :
J'ai éditer le fichier "/etc/sysctl.conf" en modifiant les lignes si dessous :
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_syncookies = 1
Je vous offre 2 jours de recherche et d'essai de configuration sur debian et centos, maintenant avant de le mettre sur le serveur de production j'aimerais l'avis de personne utilisant un ou plusieurs de ses caractéristiques ci-dessus.
De combien évaluer vous la sécurité de ce serveur ou d'une installation spécifique sur une échelle de 1 à 10. Étant novice cette note m'aidera vraiment à améliorer mes compétences et corriger mes erreurs.
Je vous remercie d'avance en espérant que cet article aura aidé quelques autres personnes. N'hésiter pas à laisser vos résultats de recherche on trouvera solution plus rapidement ensemble que seul
Partager