[HOW-TO] Sécuriser son serveur web

[T1loc]

bonjour.

Un tit trick pour générer des mots de passes:

Code :

</dev/urandom tr -dc ICI LES ENSEMBLES | head -cN

Pourquoi ce compliquer la tâche quand il existe des petits outils toutes aussi sympa :
pwgen


Les mots de passe c'est une bonne chose. Mais la sécurité d'un serveur web ne s'arrête pas là.

Un exemple concret :
- J'ai un serveur X derrière un firewall dernière génération (ici un watchguard)
- Ce serveur est dans une DMZ isolé de l'ensemble du lan.
- Fail2ban est installé et configuré
- l'accès ssh se fait par un port dynamic (+ de 1045) et via un système de ports supplémentaire (udp ou tcp) : knock. Exemple de connexion : $> knock t:11 u:22 t:33 && ssh user@ip -p 1045
- l'accès root est désactivé
- le sudoers est désactivé
- apache tourne avec le mode secure + fastcgi
- crawltrack et crawlprotect sont installés et configuré.

Et malgré ce semblant de sécurité le serveur est exploitable, pourquoi ?
Si je vous répond : CMS + obsolète ?

Je tiens juste à faire remonté que les choix que nous prenons lorsque nous installons, développons un site et/ou un intranet ou tous ce que vous voulez, nous "DEVONS" absolument pensez au futur, à obsolescence, au suivi de cette sécurité.

L'émission de rapport, le développement de script basique (quand je dis basique : un tour sur : abs.traduc.org permet en moins de 10min de faire un script d'analyse des permissions par exemples). Tous ces petits éléments constitue votre sécurité.

Tachez d'ouvrir les yeux, et ne pas vous arrêtez sur ce que vous voyez.


T1loc,