Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Sécuriser sa distribution
Salut tout le monde, vous allez bien?
Alors je suis un débutant sous linux et j'aimerais y installer un serveur web (entre autre apache2, bon ca c'est pas tres difficile).
Et ma question est toute simple et repose surtout sur les experiences de chacun.
Quel sont les meilleurs outils et les habitudes à prendre pour avoir un linux sécurisé ?
De mon côté, je suis sous Débian et je suis passé à Sarge, pour faire assez souvent les mises a jour de la distribution.
Merci d'avance!!
++
ShinJava
Il y a un outils simple déjà pour voir tes ports d'ouvert :
nmap
tape : nmap localhost et déjà ca te fera un premier apercu des ports ouverts.
Ensuite la sécurité d'apache2 ne concerne qu'apache2. C'est en lisant et modifiant le fichier de configuration que tu arriveras au mieux à le sécuriser. Même si je trouve que de base, la configuration est très bien.
Pour le reste, travaille judiscieusement les droits sur les répertoires/fichiers contenant tes pages HTML.
Grave urgent !!!
Le plus imoprtant me semble de savoir précisément les services réseau qui tournent sur la machine, et les limiter au minimum. Un nmap est effectivement très utile pour ça.
Première chose à faire, fermer les services inutiles. Certains distributions installent par défaut des services comme finger, qui ne servent à rien d'autre qu'à donner des informations sur la machine a un attaquant potentiel, il faut les couper. D'une manière générale inetd ou xinetd sont à désactiver.
S'il est nécéssaire de se connecter à distance à la machine, utiliser ssh et surtout pas telnet.
Ensuite, garder tous les services à jour et patchés est indispensable (en général Debian fait celà très bien).
Mettre un firewall qui bloque les ports non ouverts et laisse passer les ports ouverts (80, 22 ..) ne sert a priori à rien. Par contre une règle qui limite l'accès à l'intranet par exemple permet de factoriser certaines opérations et de les simplifier, mais c'est faisable depuis la configuration de chaque logiciel en général, et de manière plus fine. A voir selon les besoins.
Il est important de noter qu'un firewall ne protège en rien contre une éventuelle faille de sécurité d'un logiciel.
Bonjour,
Tu peux potasser ce merveilleux tutoriel à savoir: Manuel de sécurisation de Debian
Débutant avec Debian, ce serait sympa d'apprendre à sécuriser ta distribution avant d'aller plus loin.
Voilà @++
.Olivier
Salut tout le monde !
Alors tout d'abord merci pour vos messages et liens !
Je les ai lu avec attention et c'est effectivement tres formatteur.
C'est vrai qu'un antivirus ne sert à rien du tout sous Linux ? (désolé si cette question peut paraitre bete, je suis en pleine transition windows/linux).
Les services comme apache , MySQL et tomcat (serveur d'application), vaut mieux t'il les lancer en tant que root ou utilisateur ?
Merci pour vos réponses !
++
ShinJava
pour l'antivirus il faudrai déjà qu'il y ai des virus.
ceux que tu recois dans ta boite mail, sont tous fait pour windows, pas de trojan possible si tu n'install que des packages officiels, quant-à ceux qui se propagent tout seuls (style sasser sous windows) ils exploitent forcément une faille qui est en général corrigé avant d'avoir pu être exploité.
pour résumer : maintient ta debian à jour ça sera ton meilleur antivirus.
évite au maximum de lancer des programmes en root.
la majorité des failles dans les applications (pas forcément des serveurs) sont des overflow, il devient donc possible de faire exécuter du code "arbitraire" (souvent bien choisi
ceci dit pour ce qui est d'apache et mysql, eux ils faut les lancer en root, et ils s'occupent tout seul de se loguer avec un user spécifique.
Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.
La securite c'est aussi proteger le systeme de soi meme
On ne travaille jamais en tant que root. Root est la pour permettre aux utilisateurs de travailler.
Pour savoir quels sont les ports a l'ecoute sur sa machine :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
Si tu utilises nmap sur l'hôte local, tous les paquets passeront par la boucle locale (périphérique loopback), donc le résultat sera différent de ce que pourront voir des machine externes sur le réseau local / internet. Donc nmap localhost, c'est à peu près bien pour déterminer les services lancés, mais ne dit pas coment tu seras vu de l'extérieur. Je dis "à peu près bien", car il se peut que la configuration netfilter/iptables bloque une partie du trafic local, et donc t'empêche de voir des serviecs lancés.Envoyé par Katyucha
Une présentation d'iptables accessible sans être un pro du réseau (comme moi
http://olivieraj.free.fr/fr/linux/information/firewall/
Merci a vous encore pour les liens et conseils !
Celelibi : ok ! ma debian est souvent mise a jour, donc pas de soucis de ce côté la. Mais sinon pour apache et mysql en root, je ne comprend pas trop le truc car je suis apparement obligé de les lancer en root, je n'ai pas d'autres choix... donc il risque d'y avoir des problèmes de ce coté ci non ?
chanmix : Je suis pas encore tres bien dans le moule de linux, je continu a m'accrocher. Je commence a comprendre la philosophie du root et qu'il permet de donner pas mal de privilège aux utilisateurs.
alveric : merci pour le truc... la j'ai tres peu de port ouvert, je les gère par rapport à mon routeur.
nicolas581 : cool !! Merci pour le lien ! ca va bien me servir, je vais étudier ca de pres.
Merci encore pour vos conseils, si jamais vous avez d'autres truc et astuces, ca serait genial !
Au fait, j'ai une question : apache2 demarre automatiquement a chaque fois que je demarre debian... y'a un t'il un fichier config a régler pour pouvoir controler ceci ?
Merci d'avance pour vos réponses !
++
shinjava
Hé hé le démarrage des services des Unix Système V est traité dans le cours Debian GNU/Linux :
http://people.via.ecp.fr/~alexis/formation-linux/formation-linux.html
A opposer à la famille BSD qui ont simplifié les options de démarrage à un fichier de boot (chacune des méthodes a ses partisans, rien ne vous empêche de modifier votre /etc/inittab pour avoir un comportement à la BSD sur votre GNU/Linux comme le propose la Slackware par exemple).
Celelibi : ok ! ma debian est souvent mise a jour, donc pas de soucis de ce côté la. Mais sinon pour apache et mysql en root, je ne comprend pas trop le truc car je suis apparement obligé de les lancer en root, je n'ai pas d'autres choix
Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.
Merci à vous !
Désolé pour la réponse tardif.
Celibi : autant pour moi, désolé j'etais pas tres attentif.
Avec tout ca devrait aller
Merci tout le monde !
++
ShinJava
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager