quel service doit tourner pour un serveur sécurisé ???
11 réponses
KAMPECH
Salut à tous
Quelque soit la distrib, quel service me conseillez vous de laisser
ou bien d'enlever pour sécuriser mon serveur.
Je n'utilise que Mysql Apache (+ ou - avec SSL) Tomcat (via Apache) et
ssh (wincsp + putty) et peut-être plus tard Webmin en mode SSL.
Les applis sont en JSP et en PHP (coktail maison : surtout par facilité)
Certains potos m'ont conseillés pour un serveur l'interface graphique
WindowMaker (ni gnome, ni kde).
Quelque soit la distrib, quel service me conseillez vous de laisser ou bien d'enlever pour sécuriser mon serveur.
Une machine branchée n'est jamais sûre.
Certains potos m'ont conseillés pour un serveur l'interface graphique WindowMaker (ni gnome, ni kde).
Drôle d'idée. Un serveur n'est pas un sapin de noêl, pourquoi veux-tu y mettre une interface graphique ?
-- Arnaud
David LE BOURGEOIS
KAMPECH wrote:
Salut à tous
Quelque soit la distrib, quel service me conseillez vous de laisser ou bien d'enlever pour sécuriser mon serveur.
Pour une sécurité optimale, il ne faut rien laisser comme service. Et encore, ça ne résoud pas les problèmes d'accès physique à la machine.
Je n'utilise que Mysql Apache (+ ou - avec SSL) Tomcat (via Apache) et ssh (wincsp + putty) et peut-être plus tard Webmin en mode SSL. Les applis sont en JSP et en PHP (coktail maison : surtout par facilité)
Dans tous ceux-là, nombreux (voir tous) possèdent leurs propres failles de sécurité. La sécurité est une affaire de mise à jour, de maintenance et de surveillance, et non pas une affaire de nombre. Le tout est de n'ouvrir que ce que l'on maîtrise.
Une machine avec une telle configuration peux être beaucoup mieux sécurisée, qu'une autre ne possédant que rshd avec + + dans /root/.rhosts ;-) (Rigolez pas, y'en a plus qu'on le croit).
Certains potos m'ont conseillés pour un serveur l'interface graphique WindowMaker (ni gnome, ni kde).
Cela dépend de la puissance du serveur, du nombre d'utilisateurs et le type d'utilisation. Si c'est un serveur de fichier, peu importe le window manager. Si c'est un serveur applicatif (Terminaux X, export de DISPLAY), mieux vaut préférer un wm plus léger. Par expérience, je trouve en effet que kde et gnome sont plus lourds que WindowMaker. Mais, si tu n'utilises que des programmes kde ou gnome, mieux vaut prendre le wm correspondant. Par exemple kde est moins rapide que WindowMaker pour se lancer, mais kcalc se charge plus vite sous kde. Après c'est une histoire de goût.
J'attends vos avis avec impatience. ;-))
KAMPECH wrote:
Salut à tous
Quelque soit la distrib, quel service me conseillez vous de laisser
ou bien d'enlever pour sécuriser mon serveur.
Pour une sécurité optimale, il ne faut rien laisser comme service.
Et encore, ça ne résoud pas les problèmes d'accès physique à la machine.
Je n'utilise que Mysql Apache (+ ou - avec SSL) Tomcat (via Apache) et
ssh (wincsp + putty) et peut-être plus tard Webmin en mode SSL.
Les applis sont en JSP et en PHP (coktail maison : surtout par facilité)
Dans tous ceux-là, nombreux (voir tous) possèdent leurs propres failles
de sécurité. La sécurité est une affaire de mise à jour, de maintenance
et de surveillance, et non pas une affaire de nombre.
Le tout est de n'ouvrir que ce que l'on maîtrise.
Une machine avec une telle configuration peux être beaucoup mieux
sécurisée, qu'une autre ne possédant que rshd avec + + dans
/root/.rhosts ;-) (Rigolez pas, y'en a plus qu'on le croit).
Certains potos m'ont conseillés pour un serveur l'interface graphique
WindowMaker (ni gnome, ni kde).
Cela dépend de la puissance du serveur, du nombre d'utilisateurs et le
type d'utilisation.
Si c'est un serveur de fichier, peu importe le window manager. Si c'est
un serveur applicatif (Terminaux X, export de DISPLAY), mieux vaut
préférer un wm plus léger.
Par expérience, je trouve en effet que kde et gnome sont plus lourds
que WindowMaker. Mais, si tu n'utilises que des programmes kde ou gnome,
mieux vaut prendre le wm correspondant. Par exemple kde est moins rapide
que WindowMaker pour se lancer, mais kcalc se charge plus vite sous kde.
Après c'est une histoire de goût.
Quelque soit la distrib, quel service me conseillez vous de laisser ou bien d'enlever pour sécuriser mon serveur.
Pour une sécurité optimale, il ne faut rien laisser comme service. Et encore, ça ne résoud pas les problèmes d'accès physique à la machine.
Je n'utilise que Mysql Apache (+ ou - avec SSL) Tomcat (via Apache) et ssh (wincsp + putty) et peut-être plus tard Webmin en mode SSL. Les applis sont en JSP et en PHP (coktail maison : surtout par facilité)
Dans tous ceux-là, nombreux (voir tous) possèdent leurs propres failles de sécurité. La sécurité est une affaire de mise à jour, de maintenance et de surveillance, et non pas une affaire de nombre. Le tout est de n'ouvrir que ce que l'on maîtrise.
Une machine avec une telle configuration peux être beaucoup mieux sécurisée, qu'une autre ne possédant que rshd avec + + dans /root/.rhosts ;-) (Rigolez pas, y'en a plus qu'on le croit).
Certains potos m'ont conseillés pour un serveur l'interface graphique WindowMaker (ni gnome, ni kde).
Cela dépend de la puissance du serveur, du nombre d'utilisateurs et le type d'utilisation. Si c'est un serveur de fichier, peu importe le window manager. Si c'est un serveur applicatif (Terminaux X, export de DISPLAY), mieux vaut préférer un wm plus léger. Par expérience, je trouve en effet que kde et gnome sont plus lourds que WindowMaker. Mais, si tu n'utilises que des programmes kde ou gnome, mieux vaut prendre le wm correspondant. Par exemple kde est moins rapide que WindowMaker pour se lancer, mais kcalc se charge plus vite sous kde. Après c'est une histoire de goût.
J'attends vos avis avec impatience. ;-))
Joyce
On Mon, 04 Aug 2003 17:54:43 +0200, Arnaud Gomes-do-Vale wrote:
KAMPECH writes:
Quelque soit la distrib, quel service me conseillez vous de laisser ou bien d'enlever pour sécuriser mon serveur.
Une machine branchée n'est jamais sûre.
Certains potos m'ont conseillés pour un serveur l'interface graphique WindowMaker (ni gnome, ni kde).
Drôle d'idée. Un serveur n'est pas un sapin de noêl, pourquoi veux-tu y mettre une interface graphique ?
// j'aime bien la réponse, même si elle est un peu directe.....
On Mon, 04 Aug 2003 17:54:43 +0200, Arnaud Gomes-do-Vale wrote:
KAMPECH <kampech@club-internet.fr> writes:
Quelque soit la distrib, quel service me conseillez vous de laisser ou
bien d'enlever pour sécuriser mon serveur.
Une machine branchée n'est jamais sûre.
Certains potos m'ont conseillés pour un serveur l'interface graphique
WindowMaker (ni gnome, ni kde).
Drôle d'idée. Un serveur n'est pas un sapin de noêl, pourquoi veux-tu y
mettre une interface graphique ?
//
j'aime bien la réponse, même si elle est un peu directe.....
On Mon, 04 Aug 2003 17:54:43 +0200, Arnaud Gomes-do-Vale wrote:
KAMPECH writes:
Quelque soit la distrib, quel service me conseillez vous de laisser ou bien d'enlever pour sécuriser mon serveur.
Une machine branchée n'est jamais sûre.
Certains potos m'ont conseillés pour un serveur l'interface graphique WindowMaker (ni gnome, ni kde).
Drôle d'idée. Un serveur n'est pas un sapin de noêl, pourquoi veux-tu y mettre une interface graphique ?
// j'aime bien la réponse, même si elle est un peu directe.....
Xes
Salut à tous
Quelque soit la distrib, quel service me conseillez vous de laisser ou bien d'enlever pour sécuriser mon serveur.
La réponse est simple, laisse uniquement les services que tu utilises.
Je n'utilise que Mysql Apache (+ ou - avec SSL) Tomcat (via Apache) et ssh (wincsp + putty) et peut-être plus tard Webmin en mode SSL. Les applis sont en JSP et en PHP (coktail maison : surtout par facilité)
Certains potos m'ont conseillés pour un serveur l'interface graphique WindowMaker (ni gnome, ni kde).
Un bon serveur est un serveur sans interface graphique.
J'attends vos avis avec impatience. ;-))
Sinon pour pofiner un peu la chose configure un firewall. Tu pars d'une politique bloque tout est tu filtres un a un les services dont t'a besoin.
Et bien sur met régulièrement ton système et surtout tes services à jour.
Si tu fais déjà ca, tu peux considérer que la sécurité de ton serveur est acceptable ...
Salut à tous
Quelque soit la distrib, quel service me conseillez vous de laisser
ou bien d'enlever pour sécuriser mon serveur.
La réponse est simple, laisse uniquement les services que tu utilises.
Je n'utilise que Mysql Apache (+ ou - avec SSL) Tomcat (via Apache) et
ssh (wincsp + putty) et peut-être plus tard Webmin en mode SSL.
Les applis sont en JSP et en PHP (coktail maison : surtout par facilité)
Certains potos m'ont conseillés pour un serveur l'interface graphique
WindowMaker (ni gnome, ni kde).
Un bon serveur est un serveur sans interface graphique.
J'attends vos avis avec impatience. ;-))
Sinon pour pofiner un peu la chose configure un firewall.
Tu pars d'une politique bloque tout est tu filtres un a un les services dont
t'a besoin.
Et bien sur met régulièrement ton système et surtout tes services à jour.
Si tu fais déjà ca, tu peux considérer que la sécurité de ton serveur
est acceptable ...
Quelque soit la distrib, quel service me conseillez vous de laisser ou bien d'enlever pour sécuriser mon serveur.
La réponse est simple, laisse uniquement les services que tu utilises.
Je n'utilise que Mysql Apache (+ ou - avec SSL) Tomcat (via Apache) et ssh (wincsp + putty) et peut-être plus tard Webmin en mode SSL. Les applis sont en JSP et en PHP (coktail maison : surtout par facilité)
Certains potos m'ont conseillés pour un serveur l'interface graphique WindowMaker (ni gnome, ni kde).
Un bon serveur est un serveur sans interface graphique.
J'attends vos avis avec impatience. ;-))
Sinon pour pofiner un peu la chose configure un firewall. Tu pars d'une politique bloque tout est tu filtres un a un les services dont t'a besoin.
Et bien sur met régulièrement ton système et surtout tes services à jour.
Si tu fais déjà ca, tu peux considérer que la sécurité de ton serveur est acceptable ...
David LE BOURGEOIS
Xes wrote:
Un bon serveur est un serveur sans interface graphique.
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec l'environnement graphique CDE ?
La qualité d'un serveur ne dépend pas de la présence d'une interface graphique. Tout repose sur le rôle du serveur, et son adaptation aux besoins.
Par contre, c'est vrai que pour les principaux services, similaires à ce que propose Internet, il n'y a pas besoin d'interface graphique. Serveurs HTTP, POP/SMTP, DNS, et autres ne requière aucune interface graphique. Mais certains autres services sont nettement plus agréables en mode graphique.
Xes wrote:
Un bon serveur est un serveur sans interface graphique.
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec
l'environnement graphique CDE ?
La qualité d'un serveur ne dépend pas de la présence d'une interface
graphique. Tout repose sur le rôle du serveur, et son adaptation aux
besoins.
Par contre, c'est vrai que pour les principaux services, similaires à
ce que propose Internet, il n'y a pas besoin d'interface graphique.
Serveurs HTTP, POP/SMTP, DNS, et autres ne requière aucune interface
graphique.
Mais certains autres services sont nettement plus agréables en mode
graphique.
Un bon serveur est un serveur sans interface graphique.
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec l'environnement graphique CDE ?
La qualité d'un serveur ne dépend pas de la présence d'une interface graphique. Tout repose sur le rôle du serveur, et son adaptation aux besoins.
Par contre, c'est vrai que pour les principaux services, similaires à ce que propose Internet, il n'y a pas besoin d'interface graphique. Serveurs HTTP, POP/SMTP, DNS, et autres ne requière aucune interface graphique. Mais certains autres services sont nettement plus agréables en mode graphique.
Xes
Un bon serveur est un serveur sans interface graphique.
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec l'environnement graphique CDE ?
C'est vrai que je n'ai pas vérifié mais je pense qu'il n'a pas de serveur IBM chez lui ! Mais une simple machine sous Linux et il est bien connu qu'utiliser une interface graphique sous Linux peut ouvrir des trous de sécurités ...
A+
Un bon serveur est un serveur sans interface graphique.
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec
l'environnement graphique CDE ?
C'est vrai que je n'ai pas vérifié mais je pense qu'il n'a pas de serveur
IBM chez lui ! Mais une simple machine sous Linux et il est bien connu
qu'utiliser une interface graphique sous Linux peut ouvrir des trous de
sécurités ...
Un bon serveur est un serveur sans interface graphique.
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec l'environnement graphique CDE ?
C'est vrai que je n'ai pas vérifié mais je pense qu'il n'a pas de serveur IBM chez lui ! Mais une simple machine sous Linux et il est bien connu qu'utiliser une interface graphique sous Linux peut ouvrir des trous de sécurités ...
A+
aurelien.dehay
David LE BOURGEOIS writes:
Xes wrote:
Un bon serveur est un serveur sans interface graphique.
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec l'environnement graphique CDE ?
[...]
Pour que les décideurs pressés, qui voient les pauvres techniciens de base se battre avec les installations graphiques de produits pensés par d'autres décideurs pressés, puissent penser qu'ils comprennent quelquechose, et que les-dits pauvres techniciens n'ont, finalement, pas plus de compétences qu'eux.
-- Aurélien DEHAY http://logicielslibres.info
David LE BOURGEOIS <david.lebourgeois-nospam@free.fr> writes:
Xes wrote:
Un bon serveur est un serveur sans interface graphique.
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec
l'environnement graphique CDE ?
[...]
Pour que les décideurs pressés, qui voient les pauvres techniciens de
base se battre avec les installations graphiques de produits pensés
par d'autres décideurs pressés, puissent penser qu'ils comprennent
quelquechose, et que les-dits pauvres techniciens n'ont, finalement,
pas plus de compétences qu'eux.
Un bon serveur est un serveur sans interface graphique.
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec l'environnement graphique CDE ?
[...]
Pour que les décideurs pressés, qui voient les pauvres techniciens de base se battre avec les installations graphiques de produits pensés par d'autres décideurs pressés, puissent penser qu'ils comprennent quelquechose, et que les-dits pauvres techniciens n'ont, finalement, pas plus de compétences qu'eux.
-- Aurélien DEHAY http://logicielslibres.info
Arnaud Gomes-do-Vale
David LE BOURGEOIS writes:
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec l'environnement graphique CDE ?
CDE, ce n'est pas une interface graphique, c'est une punition.
-- Arnaud Gomes-do-Vale -*-*-*- http://www.glou.org/~arnaud/ -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- En savoir plus sur GNU/Linux : http://www.linux-france.org/
David LE BOURGEOIS <david.lebourgeois-nospam@free.fr> writes:
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec
l'environnement graphique CDE ?
CDE, ce n'est pas une interface graphique, c'est une punition.
--
Arnaud Gomes-do-Vale -*-*-*- arnaud@carrosse.frmug.org
http://www.glou.org/~arnaud/
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
En savoir plus sur GNU/Linux : http://www.linux-france.org/
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec l'environnement graphique CDE ?
CDE, ce n'est pas une interface graphique, c'est une punition.
-- Arnaud Gomes-do-Vale -*-*-*- http://www.glou.org/~arnaud/ -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- En savoir plus sur GNU/Linux : http://www.linux-france.org/
David LE BOURGEOIS
Arnaud Gomes-do-Vale wrote:
David LE BOURGEOIS writes:
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec l'environnement graphique CDE ?
CDE, ce n'est pas une interface graphique, c'est une punition.
C'est vrai que ce n'est pas terrible, mais c'était le seul exemple que j'avais sous la main pour expliquer le principe.
Arnaud Gomes-do-Vale wrote:
David LE BOURGEOIS <david.lebourgeois-nospam@free.fr> writes:
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec
l'environnement graphique CDE ?
CDE, ce n'est pas une interface graphique, c'est une punition.
C'est vrai que ce n'est pas terrible, mais c'était le seul exemple que
j'avais sous la main pour expliquer le principe.
Alors pourquoi les serveurs IBM sous AIX sont-ils livrés avec l'environnement graphique CDE ?
CDE, ce n'est pas une interface graphique, c'est une punition.
C'est vrai que ce n'est pas terrible, mais c'était le seul exemple que j'avais sous la main pour expliquer le principe.
David LE BOURGEOIS
Xes wrote:
C'est vrai que je n'ai pas vérifié mais je pense qu'il n'a pas de serveur IBM chez lui !
Moi non plus. J'ai du Linux à la maison : un serveur avec XDM qui tourne, mais qui n'est pas accéssible depuis les zones sensibles de mon réseau (internet entre autres). J'ai juste une connexion SSH qui me permet de faire de l'export DISPLAY depuis le boulot.
Mais une simple machine sous Linux et il est bien connu
qu'utiliser une interface graphique sous Linux peut ouvrir des trous de sécurités ...
Ce n'est pas parce qu'il est plus facile d'enlever l'interface graphique que de la sécuriser, qu'il faut en priver l'utilisation. Et je crois que c'est pareil pour tous les services qu'une machine peut fournir.
Xes wrote:
C'est vrai que je n'ai pas vérifié mais je pense qu'il n'a pas de serveur
IBM chez lui !
Moi non plus. J'ai du Linux à la maison : un serveur avec XDM qui
tourne, mais qui n'est pas accéssible depuis les zones sensibles de mon
réseau (internet entre autres). J'ai juste une connexion SSH qui me
permet de faire de l'export DISPLAY depuis le boulot.
Mais une simple machine sous Linux et il est bien connu
qu'utiliser une interface graphique sous Linux peut ouvrir des trous de
sécurités ...
Ce n'est pas parce qu'il est plus facile d'enlever l'interface
graphique que de la sécuriser, qu'il faut en priver l'utilisation. Et je
crois que c'est pareil pour tous les services qu'une machine peut fournir.
C'est vrai que je n'ai pas vérifié mais je pense qu'il n'a pas de serveur IBM chez lui !
Moi non plus. J'ai du Linux à la maison : un serveur avec XDM qui tourne, mais qui n'est pas accéssible depuis les zones sensibles de mon réseau (internet entre autres). J'ai juste une connexion SSH qui me permet de faire de l'export DISPLAY depuis le boulot.
Mais une simple machine sous Linux et il est bien connu
qu'utiliser une interface graphique sous Linux peut ouvrir des trous de sécurités ...
Ce n'est pas parce qu'il est plus facile d'enlever l'interface graphique que de la sécuriser, qu'il faut en priver l'utilisation. Et je crois que c'est pareil pour tous les services qu'une machine peut fournir.
