quel service doit tourner pour un serveur sécurisé ???
11 réponses
KAMPECH
Salut à tous
Quelque soit la distrib, quel service me conseillez vous de laisser
ou bien d'enlever pour sécuriser mon serveur.
Je n'utilise que Mysql Apache (+ ou - avec SSL) Tomcat (via Apache) et
ssh (wincsp + putty) et peut-être plus tard Webmin en mode SSL.
Les applis sont en JSP et en PHP (coktail maison : surtout par facilité)
Certains potos m'ont conseillés pour un serveur l'interface graphique
WindowMaker (ni gnome, ni kde).
Quelque soit la distrib, quel service me conseillez vous de laisser ou bien d'enlever pour sécuriser mon serveur.
Je n'utilise que Mysql Apache (+ ou - avec SSL) Tomcat (via Apache) et ssh (wincsp + putty) et peut-être plus tard Webmin en mode SSL. Les applis sont en JSP et en PHP (coktail maison : surtout par facilité)
Certains potos m'ont conseillés pour un serveur l'interface graphique WindowMaker (ni gnome, ni kde).
J'attends vos avis avec impatience. ;-))
As-tu entendu parlé ce certaines distribution spécialisées dans la sécu, faciles à installer, peu gourmandes (un vieux p120 qui traîne avec 64 Mo de mémoire est déjà du luxe)... Celle que j'utilise est IPCO et ça s'administre à distance avec une interface web en https très agréable et du ssh pour la console que l'on désactive dès que l'on en a plus besoin.... Une fois installée la distrib, on vire l'écran qui ne sert plus à rien! principe :
Internet (ADSL ou autres) | | __________ | IPCOP | | -----DMZ (serveurs FTP, WEB etc...) ____|____ | LAN
-Tous les ports sont fermés par défaut, -Les machines du LAN peuvent accéder au net mais faire d'appel réentrant... -Il faut trois cartes réseau avec des adresses et masques différents - La DMZ n'à pas d'accès au machines du Lan, sauf besoin particulier d'accès à une bdd du LAN par exemple, et il faut le préciser : autorisation pour une IP en DMZ vers une IP et port du LAN... La dernière version (ça tourne sur une base redhat je sais plus quel noyau) fonctionne avec iptable et snort.
Pour les serveurs en DMZ, j'ai laissé une interface graphique, mais c'est vraiment pas nécessaire. Tu ne laisse tourner que les services utiles et pour administrer un webmin et un ssh vont bien. Le webmin peut utiliser (par exemple) le port 10000 sur le serveur en DMZ et sur l'ipcop tu autorise l'entrée sur un port (le même ou pas) ex: 10951 il suffit de rediriger tout ce qui vient de l'extérieur ou d'une plage d'IP depuis le port que tu laisse ouvert vers le port réel...
- IPCOP fait aussi du proxi, ne permet pas l'utilisation de telnet depuis ses consoles et ne fait que du travail ayant rapport à la sécurité du réseau...
Sur une machine en DMZ tu peux te concentrer sur le travail ayant rapport à la sécurité des services qu' elle supporte.
Je pense que cette séparation est vraiment indispensable et bien plus commode à gérer.
Il y a également sur IXUS.net des infos intéressantes eet des forums actifs entre autre sur IPCOP: http://ixus.net/
J'espère que ça peut-être utile,
Daniel
KAMPECH wrote:
Salut à tous
Quelque soit la distrib, quel service me conseillez vous de laisser
ou bien d'enlever pour sécuriser mon serveur.
Je n'utilise que Mysql Apache (+ ou - avec SSL) Tomcat (via Apache) et
ssh (wincsp + putty) et peut-être plus tard Webmin en mode SSL.
Les applis sont en JSP et en PHP (coktail maison : surtout par facilité)
Certains potos m'ont conseillés pour un serveur l'interface graphique
WindowMaker (ni gnome, ni kde).
J'attends vos avis avec impatience. ;-))
As-tu entendu parlé ce certaines distribution spécialisées dans la sécu,
faciles à installer, peu gourmandes (un vieux p120 qui traîne avec 64
Mo de mémoire est déjà du luxe)...
Celle que j'utilise est IPCO et ça s'administre à distance avec une
interface web en https très agréable et du ssh pour la console que l'on
désactive dès que l'on en a plus besoin.... Une fois installée la
distrib, on vire l'écran qui ne sert plus à rien!
principe :
Internet (ADSL ou autres)
|
|
__________
| IPCOP |
| -----DMZ (serveurs FTP, WEB etc...)
____|____
|
LAN
-Tous les ports sont fermés par défaut,
-Les machines du LAN peuvent accéder au net mais faire d'appel réentrant...
-Il faut trois cartes réseau avec des adresses et masques différents
- La DMZ n'à pas d'accès au machines du Lan, sauf besoin particulier
d'accès à une bdd du LAN par exemple, et il faut le préciser :
autorisation pour une IP en DMZ vers une IP et port du LAN...
La dernière version (ça tourne sur une base redhat je sais plus quel
noyau) fonctionne avec iptable et snort.
Pour les serveurs en DMZ, j'ai laissé une interface graphique, mais
c'est vraiment pas nécessaire. Tu ne laisse tourner que les services
utiles et pour administrer un webmin et un ssh vont bien.
Le webmin peut utiliser (par exemple) le port 10000 sur le serveur en
DMZ et sur l'ipcop tu autorise l'entrée sur un port (le même ou pas) ex:
10951 il suffit de rediriger tout ce qui vient de l'extérieur ou d'une
plage d'IP depuis le port que tu laisse ouvert vers le port réel...
- IPCOP fait aussi du proxi, ne permet pas l'utilisation de telnet
depuis ses consoles et ne fait que du travail ayant rapport à la
sécurité du réseau...
Sur une machine en DMZ tu peux te concentrer sur le travail ayant
rapport à la sécurité des services qu' elle supporte.
Je pense que cette séparation est vraiment indispensable et bien plus
commode à gérer.
Quelque soit la distrib, quel service me conseillez vous de laisser ou bien d'enlever pour sécuriser mon serveur.
Je n'utilise que Mysql Apache (+ ou - avec SSL) Tomcat (via Apache) et ssh (wincsp + putty) et peut-être plus tard Webmin en mode SSL. Les applis sont en JSP et en PHP (coktail maison : surtout par facilité)
Certains potos m'ont conseillés pour un serveur l'interface graphique WindowMaker (ni gnome, ni kde).
J'attends vos avis avec impatience. ;-))
As-tu entendu parlé ce certaines distribution spécialisées dans la sécu, faciles à installer, peu gourmandes (un vieux p120 qui traîne avec 64 Mo de mémoire est déjà du luxe)... Celle que j'utilise est IPCO et ça s'administre à distance avec une interface web en https très agréable et du ssh pour la console que l'on désactive dès que l'on en a plus besoin.... Une fois installée la distrib, on vire l'écran qui ne sert plus à rien! principe :
Internet (ADSL ou autres) | | __________ | IPCOP | | -----DMZ (serveurs FTP, WEB etc...) ____|____ | LAN
-Tous les ports sont fermés par défaut, -Les machines du LAN peuvent accéder au net mais faire d'appel réentrant... -Il faut trois cartes réseau avec des adresses et masques différents - La DMZ n'à pas d'accès au machines du Lan, sauf besoin particulier d'accès à une bdd du LAN par exemple, et il faut le préciser : autorisation pour une IP en DMZ vers une IP et port du LAN... La dernière version (ça tourne sur une base redhat je sais plus quel noyau) fonctionne avec iptable et snort.
Pour les serveurs en DMZ, j'ai laissé une interface graphique, mais c'est vraiment pas nécessaire. Tu ne laisse tourner que les services utiles et pour administrer un webmin et un ssh vont bien. Le webmin peut utiliser (par exemple) le port 10000 sur le serveur en DMZ et sur l'ipcop tu autorise l'entrée sur un port (le même ou pas) ex: 10951 il suffit de rediriger tout ce qui vient de l'extérieur ou d'une plage d'IP depuis le port que tu laisse ouvert vers le port réel...
- IPCOP fait aussi du proxi, ne permet pas l'utilisation de telnet depuis ses consoles et ne fait que du travail ayant rapport à la sécurité du réseau...
Sur une machine en DMZ tu peux te concentrer sur le travail ayant rapport à la sécurité des services qu' elle supporte.
Je pense que cette séparation est vraiment indispensable et bien plus commode à gérer.
