Incontournables XHTML / CSS :
| Auteur | |
|---|---|
| supprime12 | # 05 Jun 2008 - 12:02:49  |
| 152 Posts |
Salut, Par curiosité, j'ai parcouru les divers tutoriaux de la nouvelle section hébergement. Si l'initiative est très bonne, attention tout de même à l'hyper vulgarisation et à ne pas reprendre les erreurs vues par ailleurs. Vite fait, pour le firewall, limiter le trafic ICMP est assez important, par exemple :
Par ailleurs, dans sysctl.conf :
net.ipv4.tcp_syncookies = 1 n'est pas une protection contre les méchants SYN Cookies, comme dit dans le tuto mais, au contraire, une signature faite des paquets SYN (pour faire très bref) pour se protéger autant que possible de SYN flood. Changer le port SSH, pourquoi pas, mais un simple scan nous donnera le nouveau port. Donc effort un peu vain. Il existe le port-knocking, très à la mode (explications, mise en place) Eviter de donner trop d'info, comme la signature de certains services. Par exemple modifier la valeur de ServerTokens dans httpd.conf ou apache2.conf à Prod ne donnera que "Apache", plutôt que "Apache/2.0.59 (Win32) PHP/5.2.3 Server at localhost Port 80" (ce qui, dans ce cas, nous indique des versions d'apache et de php problématiques, qui plus est sous Windows  )Pour une install de clamav et spamassassin en version stable de Debian, il est préférable d'ajouter le dépôt volatile, ce qui évite de recourir à du unstable et permet d'avoir toutes les mises à jour :
J'en oublie (j'ai pas pensé à noter au fil de ma lecture des tuts) mais j'en ajouterai peut-être. |
 |
|
| dew | # 05 Jun 2008 - 13:38:58 |
 Administrateur 698 Posts |
Merci pour ce retour. Le sujet est vaste et les procédures à mettre en œuvre nombreuses en fonction des situations. Mes remarques : Il n'y a pas d'allusion aux syn cookies ou au syn flood - (est-ce un ajout ?) La configuration du firewall n'est qu'une suggestion "minimaliste". On peut bien sûr aller beaucoup plus loin. Mais il vaut mieux que la personne suivant le tuto sache réellement ce qui se passe et ne se retrouve pas coincée par une directive qu'elle ne comprend pas. Changer le port ssh n'est certes pas une barrière très résistante, mais elle est très rapide à mettre en place et permet d'éviter bon nombre de scans (sur un de mes serveurs ~90% en moins, cela vaut donc le coup). ServerSignature et ServerTokens sont précisés dans le tuto Apache. Pour clamav et spamassassin les dépôts volatile sont mentionnés également (mais de tête je ne sais plus dans quel tuto) |
|
|
| supprime12 | # 06 Jun 2008 - 10:35:52 |
| 152 Posts |
Ok pour les remarques, je n'ai pas regardé tous les tuto et je me suis concentré sur ton cours sur la sécu et DTC car je viens de l'essayer. Pour le syn-cookies, j'avais cru le lire chez toi mais c'est sur un autre tut quelque peu navrant que j'ai vu ça. (je cherche des infos sur les DNS, mais je trouve sur des copies de copies de conf, avec peu à peu, des erreurs ajoutées ; ça commence à devenir difficile de trouver une info valable sur le net !). C'est bien un ajout pour le flood et autres, car c'est assez important. S'il est difficile d'empêcher un DDos, les simples DoS sont encore communs et faciles à limiter. |
|
|
| dew | # 06 Jun 2008 - 19:48:28 |
| Administrateur 698 Posts |
Oui je pense qu'il y a matière à étoffer le tuto sécurité, et de repréciser quelques informations situées dans les autres tutos (pour Apache, PHP, etc...) il y a tant à dire. Je vais me pencher là dessus et y réfléchir, merci  En ce qui concerne les DNS, effectivement c'est un vaste sujet, qui en général est aussi varié que les possibilités de configurations que l'on souhaite appliquer. Il y a de quoi écrire plusieurs tutos dessus, mais ce n'est pas un objectif pour le moment... |
|
|
Les références web : openweb.eu.org - opquast.com - webmaster-hub.com - webrankinfo.com - salemioche.net - web-pour-tous.org - webonorme.org
Nos partenaires : Editions Eyrolles - Location vacances France - Location vacances Europe
Nikozen : Hébergement - Réalisation : Alsacreations.fr