18041 sujets

Questions générales et questions de débutants

[RESOLU] FreeBSD ou Debian/Ubuntu

Bonjour,

Je me présente un minimum (1er post alors), je suis Timothy de Nancy (Lorraine 54) ! Débutant en développement web & webmaster
j'apprends en ce moment le Php & JS(AJAX)

Pour juin avec mon associez nous voulons prendre un serveur dédiée chez ovh SuperPlan SSD à 83 € (TTC) /moi

Pour notre site et nos futurs sites !

Mais je débute aussi dans l'administration réseau (*Je suis en ce moment en Bac Pro SEN Télécom & Réseau) ! Mais on n'étudie pas en premier année en tout cas de se qui est sécurité, optimisation, ...

Et j'aimerai savoir si vous me conseillez de prendre FreeBSD ou Débian/Ubuntu comme OS.

On ma dit que FreeBSD été super côté sécurisé et moins utilisé que Débian ou autre linux donc moins de possibilités de se faire attaquer

Merci de votre aide
Modifié par Dr.Revolte (06 Jan 2010 - 00:04)
Bonjour,

Si tu débute, c'est peut être mieux d'utiliser ou du moins commencer avec une debian/ubuntu plutôt qu'une *BSD ... C'est plus courant et tu trouvera des tutos / du support plus facilement en cas de problème (enfin je pense...)

Pour ce qui est de la sécurité je ne suis pas un expert, mais déjà il faut configurer correctement ses services réseaux, fermer les ports que tu n'utilise pas, et ensuite mettre en place de quoi contrer les brutes force ssh, attaque par DOS etc .... Et cela se fait très bien et sans trop de mal sur une ubuntu/debian ...

Il y a un tuto pas trop mal sur alsa sur la mise en place d'un serveur dedié (debian), l'aspect sécurité est un peu abordé (fail2ban, parefeu...)

http://www.alsacreations.com/tuto/lire/621-Configuration-d-un-serveur-dedie-de-A-a-Z.html

Bonne lecture.
Modifié par Benjamin-Ds (03 Jan 2010 - 13:57)
Oki merci pour l'info ! Tu a raison surtout que en cour j'étudie ubuntu donc plus facilement de l'aide avec mes professeurs

Et comment on contre des attaque DDOS et force Brute ? (les plus courantes comme attaque non ?)
fail2ban pour les brutes forces ssh (c'est mentionné dans le tuto je crois), entre autres.
mod_evasive pour les ddos (par exemple)...
bonjour et bonéné Smiley lol

- fail2ban : abordé dans ce thread aussi

- attaque de type force brute contre SSH : il y a une mesure très dissuasive pour ça : obliger ceux qui se connectent légitimement à ton serveur à utiliser une paire de clé privée/publique (cryptographie asymétrique du genre PGP, cf le logiciel ssh-keygen), ainsi, d'une simple palissade avec mot de passe comme pour se connecter en FTP, tu passes à des remparts de 3 mètres d'épaisseur avec pont levis !

en tous les cas, la méthode est bonne :

1) réduire les services ouverts au strict nécessaire

2) renforcer la sécurité des services ouverts : dès que tu le peux, rajoute et oblige tes clients à utiliser du SSL/TLS notamment lorsqu'un mot de passe sera demandé (je pense au service FTP)

3) tous les matins, remercie ton parefeu... et tous les soirs aussi Smiley cligne

enfin, si mettre en place une sécu est bien, anticiper une faille est 100 FOIS MIEUX !

tout sysadmin, en l'occurrence Debian, qui se respecte EST ABONNÉ PAR MAIL à la DSA (Debian Security Advisories) : tout simplement parce que dès qu'une faille est publiée, ELLE PEUT ÊTRE EXPLOITÉE par des gens qui ne te veulent pas forcément du bien !

en clair : dès que le bulletin tombe => mise à jour apt-get update + apt-get upgrade si ton système d'informations est affaibli par cette faille
Modifié par Etilem (06 Jan 2010 - 02:43)
Etilem a écrit :
bonjour et bonéné Smiley lol

- fail2ban : abordé dans ce thread aussi

- attaque de type force brute contre SSH : il y a une mesure très dissuasive pour ça : obliger ceux qui se connectent légitimement à ton serveur à utiliser une paire de clé privée/publique (cryptographie asymétrique du genre PGP, cf le logiciel ssh-key), ainsi, d'une simple palissade avec mot de passe comme pour se connecter en FTP, tu passes à des remparts de 3 mètres d'épaisseur avec pont levis !

en tous les cas, la méthode est bonne :

1) réduire les services ouverts au strict nécessaire

2) renforcer la sécurité des services ouverts : dès que tu le peux, rajoute et oblige tes clients à utiliser du SSL/TLS notamment lorsqu'un mot de passe sera demandé (je pense au service FTP)

3) tous les matins, remercie ton parefeu... et tous les soirs aussi Smiley cligne

enfin, si mettre en place une sécu est bien, anticiper une faille est 100 FOIS MIEUX !

tout sysadmin, en l'occurrence Debian, qui se respecte EST ABONNÉ PAR MAIL à la DSA (Debian Security Advisories) : tout simplement parce que dès qu'une faille est publiée, ELLE PEUT ÊTRE EXPLOITÉE par des gens qui ne te veulent pas forcément du bien !

en clair : dès que le bulletin tombe => mise à jour apt-get update + apt-get upgrade si ton système d'informations est affaibli par cette faille


Merci ! Je viens de m'inscrire à Debian Security Advisories comme tu viens de me le dire !

Etilem a écrit :
- attaque de type force brute contre SSH : il y a une mesure très dissuasive pour ça : obliger ceux qui se connectent légitimement à ton serveur à utiliser une paire de clé privée/publique (cryptographie asymétrique du genre PGP, cf le logiciel ssh-key), ainsi, d'une simple palissade avec mot de passe comme pour se connecter en FTP, tu passes à des remparts de 3 mètres d'épaisseur avec pont levis !


Mais tout ça est facile en mettre en place tu as un tuto sous la main par hasard ? Je peux mettre ta méthode plus celle de Benjamin-Ds (mod_evasive) ou complètement inutile ?

Encore un grand Merci beaucoup
Modifié par Dr.Revolte (04 Jan 2010 - 12:03)
Si tu es parano tu peux également ajouter un parefeu applicatif à apache : mod_security ...

Plus sérieusement je pense que la base c'est déjà de correctement configurer ses services réseaux (apache en mod prod etc ..), sécuriser son accès ssh/ftp (fail2ban & co), filtrer le trafic avec un parefeu, surveiller les log (logwatch), et comme dit plus haut tenir son système à jour ...
Sujet clos
Aller à