Discussion :

[gtraxx]

Bonjour a tous , j'ai une question relevant de plusieurs réponse .
En fait j'ai un souçis quand a la sécurité d'un serveur utilisant php 5.
Quand je dit sécurité je parle bien entendu de php.ini , httpd.conf
j'ai lu le tutorial parlant de cela mais je reste perplex .
Il me faut votre avis professionnelle pour ne plus être hackers 2 fois par semaine .
En lisant l'article je vois :

safe_mode = on
display_errors = off
log_errors = on
register_globals = off
magic_quotes_gpc = on
magic_quotes_runtime = on

mais j'aimerai me sentir un peux plus en sécurité , la seule que je doit absolument garder activé c'est la fonction mail .

que puis je faire d'autre
Je ne sais pas si beaucoup personne connaisse vhcs2 mais une énorme faille de sécurité au niveau de la connexion a l'administration.
Pourtant nous avons sécuriser cela avec des patchs , derniere version de php et apache , ...... Quelque conseil

[vg33]

Pour le magic_quotes_gpc = on, je suis plutôt contre. Les magic_quotes ne protègent que partiellement des injections SQL. Il vaut mieux gérer les problèmes de sécurité dans ton applic (par mysql_real_escape_string() par exemple)... sauf si à la rigueur tu fais une offre d'hébergement et que tu ne connais pas la qualité des applics.

[gtraxx]

oui je suis tout a fais d'accord pour magic_quotes_gpc = off
Comme j'utilise deja la fonction mysql_real_escape_string() cela ne change pas ma façon de procéder mais voyez vous autre chose ???
j'ai entendu de fonction systeme a desactiver

[vg33]

Tu peux t'inspirer des fonctions interdites chez Free : http://faq.free.fr/adsl/5/9/3/8

[julp]

open_basedir est intéressant également (je vous laisse le soin de consulter la doc à ce sujet). Par ailleurs, elle serait amenée à remplacer safe_mode à partir de la version 6. Un argument qui penche en faveur de la mise de magic_quotes_gpc à Off, c'est que ces directives devraient également amener à disparaître avec PHP 6.

Il va sans dire que la sécurité ne s'applique pas qu'aux applications mais surtout au système lui-même (permissions, autres services activés, ...). Vous utilisez quel système au juste ?


Julp.

[Julien.alkaza]

Un élément crucial selon moi : NE PAS METTRE DE CHMOD 777 DE PARTOUT!!

(excusez pour les majuscules!!)

Certains auteurs de scripts demandent que tous les répertoires soient mis en 777...
Cela est un gros trou béant de sécurité!!!
Il ne faut donner les droits (et seuls les droits nécessaires) qu'au services/user qui en ont besoin...

[jpclair]

Il existe un projet d'audit de sécurité qui peut te donner deux ou trois pistes sur la sécurité de ton serveur :
http://wapiti.sourceforge.net/

[gtraxx]

merci pour ses precisions je vais renseigner mon administrateur des choses a bloqué

[vg33]

N'oublie pas le tag