securite serveur web

Batman

21/07/2004 à 11:11

il n'y a qu'un seul endroit par lequel on peut rentrer dans mon
ordinateur : le serveur web (appache)

alors, je me demande si il est suffisemment solide contre les attaques

par ex j'ai entendu parler de buffer overflow
est ce que appache est au point là dessus ?
j'ai vu dans mes logs des trucs immenses, je suppose que c'etait ca le
but de ces attaques

Je suis loin d'être expert informatique, mais je tente quelques réponses.

j'ai aussi :
62.147.188.25 - - [19/Jul/2004:20:47:04 +0200] "hx04xf4x1d" 501 -
62.147.209.170 - - [19/Jul/2004:20:56:39 +0200] "Hx14xc5x14" 501 -
62.147.188.83 - - [19/Jul/2004:20:58:30 +0200] "xd8x942" 501 -
62.147.188.25 - - [19/Jul/2004:21:00:48 +0200] "x88sxfbx1d" 501 -
62.147.7.176 - - [19/Jul/2004:21:01:53 +0200] "0x83x82x14" 501 -
62.147.163.186 - - [19/Jul/2004:21:04:09 +0200] "xf0x12Gx14" 501 -
62.147.188.83 - - [19/Jul/2004:21:13:45 +0200] "x10wxfex13" 501 -
62.147.81.135 - - [19/Jul/2004:21:45:08 +0200] " xcc2" 400 -
62.147.152.247 - - [20/Jul/2004:01:38:56 +0200] "8x03xa6x1d" 501 -
62.147.152.247 - - [20/Jul/2004:01:43:00 +0200] "pxebxa6x1d" 501 -
62.147.152.247 - - [20/Jul/2004:02:15:06 +0200] "@)xadx1d" 501 -

cela semble être une attaque, qui a échoué de toute façon (erreur 501, à la
fin)

j'ai aussi vu des "OPTION" et des "SEARCH" en plus des "GET" habituels,
qq on peut faire avec tout ca ?

OPTION, peut éventuellement être une préparation à une attaque (afin de
savoir les fonctionnalitées active de ton Apache), mais si tu as du
(web)DAV sur ton serveur ou d'autres services de ce genre, cela est peut
être normal

SEARCH, je suis pas assez réveillé pour expliquer ;-)

ca me rassurerais de savoir exactement ce que les gens peuvent faire, et
où sont les limites,
avec un appache en config standard (tel que livré par mac os x)

merci :-)

--
Les fautes d'orthographes sont ma signature :-)
pour me répondre en BAL (mode antispam)
http://batman.dyndns.org/V2/Mail/?src=news.free

Bertrand

24/07/2004 à 22:16

[fu2 fr.comp.securite (moderé)]

Salut,

il n'y a qu'un seul endroit par lequel on peut rentrer dans mon
ordinateur : le serveur web (appache)

Il n'y a jamais qu'un seul point d'entrée dans un systeme quel qu'il
soit. Exemple: tu va chercher tes mails avec cette machine ? Alors si le
client que tu utilises est buggé/troué, le serveur en face pourra
rentrer dans ton systeme. C'est un vecteur comme un autre.

Autre exemple: cette machine... tu telecharges des trucs avec, non ? Par
exemple, des programmes ? Si tu ne verifies pas les signatures de ce que
tu telecharges, quelqu'un pourrait se mettre entre toi et le serveur de
telechargement (ca s'appelle du Man In The Middle et il y a 36 facons de le
faire) pour trojanner les fichiers telechargés, ce qui permet de faire
pleeein de choses: installer un rootkit, ouvrir un shell root, etc.

Bref, ne t'imagines pas que si ton Apache est "secure" alors tu es
protegé.

par ex j'ai entendu parler de buffer overflow est ce que appache est au
point là dessus ?

Les buffer overflows sont des phenomenes dus a des erreurs de
programmation (on peut dire ca je crois) que l'on peut exploiter
principalement afin de faire executer du code "malicieux" au programme
victime du buffer overflow. Exemple: lancer un /bin/sh dont on redirige
les E/S sur la connection Internet afin d'avoir un shell sur ta machine
(coup super classique super courant super simple...).

Il n'y a pas que les buffer overflows comme bugs de secu, on a aussi par
exemple les erreurs de chaines de format, les buffers underruns, etc,
chaque bug pouvant avoir une severité plus ou moins importante... c'est a
voir selon chaque cas. Mais il y a aussi les "features" de certains
programmes qui peuvent provoquer de graves problemes de securité couplé a
des "features" d'autres programmes. Exemple: les variables d'environnement
LD_* avec un daemon SSH utilisant un wrapper genre /sbin/nologin compilé
dynamiquement, si l'utilisateur a accés a son ~/.ssh

Bref, c'est la jungle. Mais je te rassure, pas besoin de connaitre tous
les details pour reussir a obtenir un niveau de securité convenable. Il
faut juste faire un minimum attention... et etre un minimum parano ;)

j'ai vu dans mes logs des trucs immenses, je suppose que c'etait ca le
but de ces attaques

A priori, oui.

Bon, ton souci etant d'avoir une config securisée, il est important que
tu comprennes que tu ne peux pas securiser totalement Apache, comme tu ne
peux pas securiser totalement ton systeme. Par contre, ce que tu peux
faire, c'est limiter au maximum les possibilités d'intrusion, et
cloisonner un maximum ton systeme pour que, meme si quelqu'un arrive a
penetrer celui ci, il ne puisse pas avancer assez vite pour faire des
degats avant que tu n'aies pu le "virer" de ton systeme (mieux vaut quand
meme eviter qu'on accede a ton systeme...).

Il est important aussi d'essayer de blinder ton systeme quand il
communique avec d'autres: il faut toujours considerer une donnée provenant
de l'exterieur comme potentiellement "dangereuse" (ca va de verifier ce
que les visiteurs de ton site tapent dans tes formulaires jusqu'a verifier
les signatures des tarballs downloadés).

Cela passe par (liste non exhaustive, dans l'ordre de ce qui me passe par
la tete) :

- Mise a jour reguliere des serveurs (Apache) certes, mais AUSSI des
outils ! Par exemple: les bin-utils, les file-utils, slocate, rsync
(client), etc. Car sinon ils peuvent etre un moyen d'obtenir des
privileges plus importants pour un pirate qui n'a que des droits limités.

- Programmation SECURISEE des scripts type PHP par exemple, si tu en as
(certains trucs programmés avec les pieds permettent de lancer des
programmes externes; c'est trés trés frequent et c'est la source de
trés nombreux piratages principalement perpetrés par des script kiddies
a la recherche de "proies faciles")

- Oublier ce qui permet de gagner du temps au detriment de la securité:
affichage des erreurs PHP sur les pages Web, etc (je parle de PHP parce
que c'est ce qui me vient a l'esprit mais c'est valable pour tous les
languages interpretés coté serveur, ou encore pour les CGI compilés),
tout faire tourner en root (pas bien du tout), etc Idem, meme si c'est
chiant, si ton systeme a ete compromis, reinstalle le... meme si
visiblement la personne qui est entrée n'a pas pu passer root.

- Securisation du systeme: faire attention aux droits qu'on donne aux
utilisateurs (groupes, permissions sur le systeme de fichiers, ...), ne
pas utiliser de programme dont on ne connais pas suffisamment le
fontionnement (sinon on peut oublier certaines de ses caracteristiques
qui, combinées a d'autres programmes, peuvent avoir des effets ennuyeux),
etc.

Ceci est valable pour Apache: si possible, il faut tourner en suexec, afin
de limiter les droits d'accés. On peut aussi chrooter Apache, mais ca ne
me parait guerre adapté a ton cas (c'est une bonne chose mais il faut
savoir le faire). Ne pas installer des modules de partout et laisser la
config par defaut. LIRE TOUS LES FICHIERS DE CONF, et ENTIEREMENT ! Là
encore, on remarque souvent de droles de choses ! C'est comme ceux qui
mettent un point d'accés Wifi et qui ne touchent pas a la config par
defaut... c'est mal(tm). Tu parles d'un Apache "en config standard", tu as
lu les fichiers de conf au moins ? C'est la seule facon d'avoir une vision
globale de ce qu'Apache fait/peut faire sur ton systeme... si tu ne sais
pas ca (je ne prétent pas que c'est le cas, je previens juste), comment
peux tu utiliser ton systeme en securité ?..

- Lecture reguliere des logs...

- Lire fr.comp.securite ;) Ca donne des idées :)

En esperant que ma reponse te fut utile...
@+
Bertrand

[fu2 fr.comp.securite (moderé)]

Salut,

il n'y a qu'un seul endroit par lequel on peut rentrer dans mon
ordinateur : le serveur web (appache)

Il n'y a jamais qu'un seul point d'entrée dans un systeme quel qu'il
soit. Exemple: tu va chercher tes mails avec cette machine ? Alors si le
client que tu utilises est buggé/troué, le serveur en face pourra
rentrer dans ton systeme. C'est un vecteur comme un autre.

Autre exemple: cette machine... tu telecharges des trucs avec, non ? Par
exemple, des programmes ? Si tu ne verifies pas les signatures de ce que
tu telecharges, quelqu'un pourrait se mettre entre toi et le serveur de
telechargement (ca s'appelle du Man In The Middle et il y a 36 facons de le
faire) pour trojanner les fichiers telechargés, ce qui permet de faire
pleeein de choses: installer un rootkit, ouvrir un shell root, etc.

Bref, ne t'imagines pas que si ton Apache est "secure" alors tu es
protegé.

par ex j'ai entendu parler de buffer overflow est ce que appache est au
point là dessus ?

Les buffer overflows sont des phenomenes dus a des erreurs de
programmation (on peut dire ca je crois) que l'on peut exploiter
principalement afin de faire executer du code "malicieux" au programme
victime du buffer overflow. Exemple: lancer un /bin/sh dont on redirige
les E/S sur la connection Internet afin d'avoir un shell sur ta machine
(coup super classique super courant super simple...).

Il n'y a pas que les buffer overflows comme bugs de secu, on a aussi par
exemple les erreurs de chaines de format, les buffers underruns, etc,
chaque bug pouvant avoir une severité plus ou moins importante... c'est a
voir selon chaque cas. Mais il y a aussi les "features" de certains
programmes qui peuvent provoquer de graves problemes de securité couplé a
des "features" d'autres programmes. Exemple: les variables d'environnement
LD_* avec un daemon SSH utilisant un wrapper genre /sbin/nologin compilé
dynamiquement, si l'utilisateur a accés a son ~/.ssh

Bref, c'est la jungle. Mais je te rassure, pas besoin de connaitre tous
les details pour reussir a obtenir un niveau de securité convenable. Il
faut juste faire un minimum attention... et etre un minimum parano ;)

j'ai vu dans mes logs des trucs immenses, je suppose que c'etait ca le
but de ces attaques

A priori, oui.

Bon, ton souci etant d'avoir une config securisée, il est important que
tu comprennes que tu ne peux pas securiser totalement Apache, comme tu ne
peux pas securiser totalement ton systeme. Par contre, ce que tu peux
faire, c'est limiter au maximum les possibilités d'intrusion, et
cloisonner un maximum ton systeme pour que, meme si quelqu'un arrive a
penetrer celui ci, il ne puisse pas avancer assez vite pour faire des
degats avant que tu n'aies pu le "virer" de ton systeme (mieux vaut quand
meme eviter qu'on accede a ton systeme...).

Il est important aussi d'essayer de blinder ton systeme quand il
communique avec d'autres: il faut toujours considerer une donnée provenant
de l'exterieur comme potentiellement "dangereuse" (ca va de verifier ce
que les visiteurs de ton site tapent dans tes formulaires jusqu'a verifier
les signatures des tarballs downloadés).

Cela passe par (liste non exhaustive, dans l'ordre de ce qui me passe par
la tete) :

- Mise a jour reguliere des serveurs (Apache) certes, mais AUSSI des
outils ! Par exemple: les bin-utils, les file-utils, slocate, rsync
(client), etc. Car sinon ils peuvent etre un moyen d'obtenir des
privileges plus importants pour un pirate qui n'a que des droits limités.

- Programmation SECURISEE des scripts type PHP par exemple, si tu en as
(certains trucs programmés avec les pieds permettent de lancer des
programmes externes; c'est trés trés frequent et c'est la source de
trés nombreux piratages principalement perpetrés par des script kiddies
a la recherche de "proies faciles")

- Oublier ce qui permet de gagner du temps au detriment de la securité:
affichage des erreurs PHP sur les pages Web, etc (je parle de PHP parce
que c'est ce qui me vient a l'esprit mais c'est valable pour tous les
languages interpretés coté serveur, ou encore pour les CGI compilés),
tout faire tourner en root (pas bien du tout), etc Idem, meme si c'est
chiant, si ton systeme a ete compromis, reinstalle le... meme si
visiblement la personne qui est entrée n'a pas pu passer root.

- Securisation du systeme: faire attention aux droits qu'on donne aux
utilisateurs (groupes, permissions sur le systeme de fichiers, ...), ne
pas utiliser de programme dont on ne connais pas suffisamment le
fontionnement (sinon on peut oublier certaines de ses caracteristiques
qui, combinées a d'autres programmes, peuvent avoir des effets ennuyeux),
etc.

Ceci est valable pour Apache: si possible, il faut tourner en suexec, afin
de limiter les droits d'accés. On peut aussi chrooter Apache, mais ca ne
me parait guerre adapté a ton cas (c'est une bonne chose mais il faut
savoir le faire). Ne pas installer des modules de partout et laisser la
config par defaut. LIRE TOUS LES FICHIERS DE CONF, et ENTIEREMENT ! Là
encore, on remarque souvent de droles de choses ! C'est comme ceux qui
mettent un point d'accés Wifi et qui ne touchent pas a la config par
defaut... c'est mal(tm). Tu parles d'un Apache "en config standard", tu as
lu les fichiers de conf au moins ? C'est la seule facon d'avoir une vision
globale de ce qu'Apache fait/peut faire sur ton systeme... si tu ne sais
pas ca (je ne prétent pas que c'est le cas, je previens juste), comment
peux tu utiliser ton systeme en securité ?..

- Lecture reguliere des logs...

- Lire fr.comp.securite ;) Ca donne des idées :)

En esperant que ma reponse te fut utile...
@+
Bertrand

Vous avez filtré cet utilisateur ! Consultez son message

[fu2 fr.comp.securite (moderé)]

Salut,

il n'y a qu'un seul endroit par lequel on peut rentrer dans mon
ordinateur : le serveur web (appache)

Il n'y a jamais qu'un seul point d'entrée dans un systeme quel qu'il
soit. Exemple: tu va chercher tes mails avec cette machine ? Alors si le
client que tu utilises est buggé/troué, le serveur en face pourra
rentrer dans ton systeme. C'est un vecteur comme un autre.

Autre exemple: cette machine... tu telecharges des trucs avec, non ? Par
exemple, des programmes ? Si tu ne verifies pas les signatures de ce que
tu telecharges, quelqu'un pourrait se mettre entre toi et le serveur de
telechargement (ca s'appelle du Man In The Middle et il y a 36 facons de le
faire) pour trojanner les fichiers telechargés, ce qui permet de faire
pleeein de choses: installer un rootkit, ouvrir un shell root, etc.

Bref, ne t'imagines pas que si ton Apache est "secure" alors tu es
protegé.

par ex j'ai entendu parler de buffer overflow est ce que appache est au
point là dessus ?

Les buffer overflows sont des phenomenes dus a des erreurs de
programmation (on peut dire ca je crois) que l'on peut exploiter
principalement afin de faire executer du code "malicieux" au programme
victime du buffer overflow. Exemple: lancer un /bin/sh dont on redirige
les E/S sur la connection Internet afin d'avoir un shell sur ta machine
(coup super classique super courant super simple...).

Il n'y a pas que les buffer overflows comme bugs de secu, on a aussi par
exemple les erreurs de chaines de format, les buffers underruns, etc,
chaque bug pouvant avoir une severité plus ou moins importante... c'est a
voir selon chaque cas. Mais il y a aussi les "features" de certains
programmes qui peuvent provoquer de graves problemes de securité couplé a
des "features" d'autres programmes. Exemple: les variables d'environnement
LD_* avec un daemon SSH utilisant un wrapper genre /sbin/nologin compilé
dynamiquement, si l'utilisateur a accés a son ~/.ssh

Bref, c'est la jungle. Mais je te rassure, pas besoin de connaitre tous
les details pour reussir a obtenir un niveau de securité convenable. Il
faut juste faire un minimum attention... et etre un minimum parano ;)

j'ai vu dans mes logs des trucs immenses, je suppose que c'etait ca le
but de ces attaques

A priori, oui.

Bon, ton souci etant d'avoir une config securisée, il est important que
tu comprennes que tu ne peux pas securiser totalement Apache, comme tu ne
peux pas securiser totalement ton systeme. Par contre, ce que tu peux
faire, c'est limiter au maximum les possibilités d'intrusion, et
cloisonner un maximum ton systeme pour que, meme si quelqu'un arrive a
penetrer celui ci, il ne puisse pas avancer assez vite pour faire des
degats avant que tu n'aies pu le "virer" de ton systeme (mieux vaut quand
meme eviter qu'on accede a ton systeme...).

Il est important aussi d'essayer de blinder ton systeme quand il
communique avec d'autres: il faut toujours considerer une donnée provenant
de l'exterieur comme potentiellement "dangereuse" (ca va de verifier ce
que les visiteurs de ton site tapent dans tes formulaires jusqu'a verifier
les signatures des tarballs downloadés).

Cela passe par (liste non exhaustive, dans l'ordre de ce qui me passe par
la tete) :

- Mise a jour reguliere des serveurs (Apache) certes, mais AUSSI des
outils ! Par exemple: les bin-utils, les file-utils, slocate, rsync
(client), etc. Car sinon ils peuvent etre un moyen d'obtenir des
privileges plus importants pour un pirate qui n'a que des droits limités.

- Programmation SECURISEE des scripts type PHP par exemple, si tu en as
(certains trucs programmés avec les pieds permettent de lancer des
programmes externes; c'est trés trés frequent et c'est la source de
trés nombreux piratages principalement perpetrés par des script kiddies
a la recherche de "proies faciles")

- Oublier ce qui permet de gagner du temps au detriment de la securité:
affichage des erreurs PHP sur les pages Web, etc (je parle de PHP parce
que c'est ce qui me vient a l'esprit mais c'est valable pour tous les
languages interpretés coté serveur, ou encore pour les CGI compilés),
tout faire tourner en root (pas bien du tout), etc Idem, meme si c'est
chiant, si ton systeme a ete compromis, reinstalle le... meme si
visiblement la personne qui est entrée n'a pas pu passer root.

- Securisation du systeme: faire attention aux droits qu'on donne aux
utilisateurs (groupes, permissions sur le systeme de fichiers, ...), ne
pas utiliser de programme dont on ne connais pas suffisamment le
fontionnement (sinon on peut oublier certaines de ses caracteristiques
qui, combinées a d'autres programmes, peuvent avoir des effets ennuyeux),
etc.

Ceci est valable pour Apache: si possible, il faut tourner en suexec, afin
de limiter les droits d'accés. On peut aussi chrooter Apache, mais ca ne
me parait guerre adapté a ton cas (c'est une bonne chose mais il faut
savoir le faire). Ne pas installer des modules de partout et laisser la
config par defaut. LIRE TOUS LES FICHIERS DE CONF, et ENTIEREMENT ! Là
encore, on remarque souvent de droles de choses ! C'est comme ceux qui
mettent un point d'accés Wifi et qui ne touchent pas a la config par
defaut... c'est mal(tm). Tu parles d'un Apache "en config standard", tu as
lu les fichiers de conf au moins ? C'est la seule facon d'avoir une vision
globale de ce qu'Apache fait/peut faire sur ton systeme... si tu ne sais
pas ca (je ne prétent pas que c'est le cas, je previens juste), comment
peux tu utiliser ton systeme en securité ?..

- Lecture reguliere des logs...

- Lire fr.comp.securite ;) Ca donne des idées :)

En esperant que ma reponse te fut utile...
@+
Bertrand

Thomas

01/08/2004 à 15:11

j'ai la fleme de remetre les accents comme il faut, désolé
j'espere que ca sera quand meme lisible :-)

In article (Dans l'article)
,
"Bertrand" wrote (Ècrivait):

[fu2 fr.comp.securite (moderÈ)]

Salut,

il n'y a qu'un seul endroit par lequel on peut rentrer dans mon
ordinateur : le serveur web (appache)

Il n'y a jamais qu'un seul point d'entrÈe dans un systeme quel qu'il
soit.

ok,
je parlais seulement du cas o le pirate veut rentrer chez nous, alors
qu'il n'y a aucune activitÈ particuliere :

il y a un routeur, qui arrete tout sauf 2 choses : le vpn qu'il prends
pour lui, et le web qu'il transfere
donc si le serveur web est trouÈ, il peut rentrer comme ca

--> c'est pour ca que j'y porte une attention particuliere

Exemple: tu va chercher tes mails avec cette machine ? Alors si le
client que tu utilises est buggÈ/trouÈ, le serveur en face pourra
rentrer dans ton systeme.

que le serveur ? pas n'importe qui ?
je fais confiance ? free

je fais confiance ? un minimum de gens, quand meme, pour limiter la
paranoia et le travail rÈsultant
surtout des gens qui ont tres tres peu de chances de nous vouloir du
mal, meme si c'est jamais completement impossible

le serveur web, n'importe quel script kidie du bout du monde peut le
contacter

C'est un vecteur comme un autre.

ok

Autre exemple: cette machine... tu telecharges des trucs avec, non ? Par
exemple, des programmes ? Si tu ne verifies pas les signatures de ce que
tu telecharges, quelqu'un pourrait se mettre entre toi et le serveur de
telechargement (ca s'appelle du Man In The Middle et il y a 36 facons de le
faire)

il y a 36 facons de le faire,
mais est ce que /n'importe qui/ peut le faire ?

je croyais qu'il *fallait* etre "sur le chemin" du fichier tÈlÈchargÈ
je choisis de faire confiance aux opÈrateurs rÈseau (au moins pour
l'instant) sinon c'est trop compliquÈ ...

euh, rassures moi, quand je telecharges qqch,
ca part que qqn de privÈ, mais ensuite, ca ne passe que par des gens qui
ont des semblants d'engagement de confidentialitÈ, non ? (sortes
d'opÈrateurs, non ?)

pour trojanner les fichiers telechargÈs, ce qui permet de faire
pleeein de choses: installer un rootkit, ouvrir un shell root, etc.

je recommande aux employÈs de ne pas installer de prgm qui reclament un
mdp d'admin sans mon autorisation

Bref, ne t'imagines pas que si ton Apache est "secure" alors tu es
protegÈ.

ok, dans une certaine mesure

par ex j'ai entendu parler de buffer overflow est ce que appache est au
point l? dessus ?

Les buffer overflows sont des [...]

ok, mais de tt facons j'ai lu ca
http://www.securiteinfo.com/attaques/hacking/buff.shtml
et donc je m'inquiettais de savoir si appache etait vulnÈrable (reponse
finalement evidente), et surtout, ? partir de quelle version il ne l'est
plus :-)

Il n'y a pas que les buffer overflows comme bugs de secu, on a aussi par
exemple les erreurs de chaines de format, les buffers underruns, etc,
chaque bug pouvant avoir une severitÈ plus ou moins importante... c'est a
voir selon chaque cas.

et tu sais pas si appache est vulnerable ? telle ou telle attaque ?

Mais il y a aussi les "features" de certains
programmes qui peuvent provoquer de graves problemes de securitÈ couplÈ a
des "features" d'autres programmes. Exemple: les variables d'environnement
LD_* avec un daemon SSH utilisant un wrapper genre /sbin/nologin compilÈ
dynamiquement, si l'utilisateur a accÈs a son ~/.ssh

Bref, c'est la jungle. Mais je te rassure, pas besoin de connaitre tous
les details pour reussir a obtenir un niveau de securitÈ convenable. Il
faut juste faire un minimum attention... et etre un minimum parano ;)

je ne connais pas tous les details, et j'espere avoir ceux qu'il me faut
dans ce forum :-)
merci pour ta longue reponse, et j'espere que tu voudra bien continuer
:-)

j'ai vu dans mes logs des trucs immenses, je suppose que c'etait ca le
but de ces attaques

A priori, oui.

ok
erreur 414 donc ca doit etre bon,
mais c'est pas parce que l'erreur a ÈtÈ correctement loggÈe qu'il n'y a
pas eu de buffer overflow dans la foulÈe, n'est ce pas ? ;-)

Bon, ton souci etant d'avoir une config securisÈe, il est important que
tu comprennes que tu ne peux pas securiser totalement Apache, comme tu ne
peux pas securiser totalement ton systeme.

ah ?
je croyais que c'etait possible de configurer appache de facon ? ce
qu'il ne permette que de la lecture, aucune modif d'aucune sorte, et
qu'ainsi on controle parfaitement ce qu'il fait (cad pas grand chose)

Par contre, ce que tu peux
faire, c'est limiter au maximum les possibilitÈs d'intrusion, et
cloisonner un maximum ton systeme

oui j'aimerais bien :-)

pour que, meme si quelqu'un arrive a
penetrer celui ci, il ne puisse pas avancer assez vite pour faire des
degats avant que tu n'aies pu le "virer" de ton systeme

comment fait on pour ca ? un prgm maison qui surveille un top ?

(mieux vaut quand
meme eviter qu'on accede a ton systeme...).

:-D

Il est important aussi d'essayer de blinder ton systeme quand il
communique avec d'autres: il faut toujours considerer une donnÈe provenant
de l'exterieur comme potentiellement "dangereuse" (ca va de verifier ce
que les visiteurs de ton site tapent dans tes formulaires jusqu'a verifier
les signatures des tarballs downloadÈs).

ok
enfin pour ce qui est de ce que je telecharge je verrais plus tard,
parce que ca doit pas etre si courant si ?

pour ce qui est de scanner minutieusement tout ce qu'on m'envoi sans
requette de ma part, je suis d'accord :-)
c'est meme pour ca que je suis l? ;-)

Cela passe par (liste non exhaustive, dans l'ordre de ce qui me passe par
la tete) :

- Mise a jour reguliere des serveurs (Apache) certes, mais AUSSI des
outils ! Par exemple: les bin-utils, les file-utils, slocate, rsync
(client), etc. Car sinon ils peuvent etre un moyen d'obtenir des
privileges plus importants pour un pirate qui n'a que des droits limitÈs.

ok
pour ce qui est d'apache, j'en suis ? la version 1.3.29
ca va ?

- Programmation SECURISEE des scripts type PHP par exemple, si tu en as

j'ai pas

- Oublier ce qui permet de gagner du temps au detriment de la securitÈ:
affichage des erreurs PHP sur les pages Web, etc (je parle de PHP parce
que c'est ce qui me vient a l'esprit mais c'est valable pour tous les
languages interpretÈs cotÈ serveur, ou encore pour les CGI compilÈs),
tout faire tourner en root (pas bien du tout), etc Idem, meme si c'est
chiant, si ton systeme a ete compromis, reinstalle le... meme si
visiblement la personne qui est entrÈe n'a pas pu passer root.

tout ? fait d'accord

- Securisation du systeme: faire attention aux droits qu'on donne aux
utilisateurs (groupes, permissions sur le systeme de fichiers, ...), ne

tout ? fait d'accord

pas utiliser de programme dont on ne connais pas suffisamment le
fontionnement (sinon on peut oublier certaines de ses caracteristiques
qui, combinÈes a d'autres programmes, peuvent avoir des effets ennuyeux),

ah ca ca va etre dur, je me bats avec des trucs dont j'essaye de
comprendre le fonctionnement ;-)
dont apache d'ailleurs ;-)

Ceci est valable pour Apache: si possible, il faut tourner en suexec, afin
de limiter les droits d'accÈs.

qq c'est ?
c'est en root, par defaut, sous mac os x ?

On peut aussi chrooter Apache, mais ca ne
me parait guerre adaptÈ a ton cas (c'est une bonne chose mais il faut
savoir le faire).

qq c'est aussi ?

Ne pas installer des modules de partout et laisser la
config par defaut.

ok

LIRE TOUS LES FICHIERS DE CONF, et ENTIEREMENT !

pas de pb ! ils sont o ? ;-)

est ce que tu m'autorise ? les poster ici ou ? les mettre en ligne, pour
que tu puisse les controler toi meme ? (ou qqn d'autre)

L?
encore, on remarque souvent de droles de choses ! C'est comme ceux qui
mettent un point d'accÈs Wifi et qui ne touchent pas a la config par
defaut... c'est mal(tm). Tu parles d'un Apache "en config standard", tu as
lu les fichiers de conf au moins ? C'est la seule facon d'avoir une vision
globale de ce qu'Apache fait/peut faire sur ton systeme... si tu ne sais
pas ca (je ne prÈtent pas que c'est le cas, je previens juste), comment
peux tu utiliser ton systeme en securitÈ ?..

c'est justement pour ca que je suis l? !! ... ;-)

par ex je vois dans les logs qu'il y a du SEARCH et du OPTION :
je voudrais qu'apache reponde ? ca systematiquement par la negative,
qu'il ne permette que la lecture simple

pas de php, pas de perl, pas de BDD, pas de cgi, .....

- Lecture reguliere des logs...

ok, je penses faire un prgm pour les scanner

- Lire fr.comp.securite ;) Ca donne des idÈes :)

:-)

En esperant que ma reponse te fut utile...

trËs :-)))

ps : je remets sur fr.comp.infosystemes.www.serveurs parce que je crois
que ca a sa place l? bas aussi :-)

--
"In a world without walls and fences, who needs windows and gates ?"
"petit Free qui devient grand, gêne les requins blancs"

j'ai la fleme de remetre les accents comme il faut, désolé
j'espere que ca sera quand meme lisible :-)

In article (Dans l'article)
<pan.2004.07.24.20.20.53.959542@cykian.net>,
"Bertrand" <usenet@cykian.net> wrote (Ècrivait):

[fu2 fr.comp.securite (moderÈ)]

Salut,

il n'y a qu'un seul endroit par lequel on peut rentrer dans mon
ordinateur : le serveur web (appache)

Il n'y a jamais qu'un seul point d'entrÈe dans un systeme quel qu'il
soit.

ok,
je parlais seulement du cas o le pirate veut rentrer chez nous, alors
qu'il n'y a aucune activitÈ particuliere :

il y a un routeur, qui arrete tout sauf 2 choses : le vpn qu'il prends
pour lui, et le web qu'il transfere
donc si le serveur web est trouÈ, il peut rentrer comme ca

--> c'est pour ca que j'y porte une attention particuliere

Exemple: tu va chercher tes mails avec cette machine ? Alors si le
client que tu utilises est buggÈ/trouÈ, le serveur en face pourra
rentrer dans ton systeme.

que le serveur ? pas n'importe qui ?
je fais confiance ? free

je fais confiance ? un minimum de gens, quand meme, pour limiter la
paranoia et le travail rÈsultant
surtout des gens qui ont tres tres peu de chances de nous vouloir du
mal, meme si c'est jamais completement impossible

le serveur web, n'importe quel script kidie du bout du monde peut le
contacter

C'est un vecteur comme un autre.

ok

Autre exemple: cette machine... tu telecharges des trucs avec, non ? Par
exemple, des programmes ? Si tu ne verifies pas les signatures de ce que
tu telecharges, quelqu'un pourrait se mettre entre toi et le serveur de
telechargement (ca s'appelle du Man In The Middle et il y a 36 facons de le
faire)

il y a 36 facons de le faire,
mais est ce que /n'importe qui/ peut le faire ?

je croyais qu'il *fallait* etre "sur le chemin" du fichier tÈlÈchargÈ
je choisis de faire confiance aux opÈrateurs rÈseau (au moins pour
l'instant) sinon c'est trop compliquÈ ...

euh, rassures moi, quand je telecharges qqch,
ca part que qqn de privÈ, mais ensuite, ca ne passe que par des gens qui
ont des semblants d'engagement de confidentialitÈ, non ? (sortes
d'opÈrateurs, non ?)

pour trojanner les fichiers telechargÈs, ce qui permet de faire
pleeein de choses: installer un rootkit, ouvrir un shell root, etc.

je recommande aux employÈs de ne pas installer de prgm qui reclament un
mdp d'admin sans mon autorisation

Bref, ne t'imagines pas que si ton Apache est "secure" alors tu es
protegÈ.

ok, dans une certaine mesure

par ex j'ai entendu parler de buffer overflow est ce que appache est au
point l? dessus ?

Les buffer overflows sont des [...]

ok, mais de tt facons j'ai lu ca
http://www.securiteinfo.com/attaques/hacking/buff.shtml
et donc je m'inquiettais de savoir si appache etait vulnÈrable (reponse
finalement evidente), et surtout, ? partir de quelle version il ne l'est
plus :-)

Il n'y a pas que les buffer overflows comme bugs de secu, on a aussi par
exemple les erreurs de chaines de format, les buffers underruns, etc,
chaque bug pouvant avoir une severitÈ plus ou moins importante... c'est a
voir selon chaque cas.

et tu sais pas si appache est vulnerable ? telle ou telle attaque ?

Mais il y a aussi les "features" de certains
programmes qui peuvent provoquer de graves problemes de securitÈ couplÈ a
des "features" d'autres programmes. Exemple: les variables d'environnement
LD_* avec un daemon SSH utilisant un wrapper genre /sbin/nologin compilÈ
dynamiquement, si l'utilisateur a accÈs a son ~/.ssh

Bref, c'est la jungle. Mais je te rassure, pas besoin de connaitre tous
les details pour reussir a obtenir un niveau de securitÈ convenable. Il
faut juste faire un minimum attention... et etre un minimum parano ;)

je ne connais pas tous les details, et j'espere avoir ceux qu'il me faut
dans ce forum :-)
merci pour ta longue reponse, et j'espere que tu voudra bien continuer
:-)

j'ai vu dans mes logs des trucs immenses, je suppose que c'etait ca le
but de ces attaques

A priori, oui.

ok
erreur 414 donc ca doit etre bon,
mais c'est pas parce que l'erreur a ÈtÈ correctement loggÈe qu'il n'y a
pas eu de buffer overflow dans la foulÈe, n'est ce pas ? ;-)

Bon, ton souci etant d'avoir une config securisÈe, il est important que
tu comprennes que tu ne peux pas securiser totalement Apache, comme tu ne
peux pas securiser totalement ton systeme.

ah ?
je croyais que c'etait possible de configurer appache de facon ? ce
qu'il ne permette que de la lecture, aucune modif d'aucune sorte, et
qu'ainsi on controle parfaitement ce qu'il fait (cad pas grand chose)

Par contre, ce que tu peux
faire, c'est limiter au maximum les possibilitÈs d'intrusion, et
cloisonner un maximum ton systeme

oui j'aimerais bien :-)

pour que, meme si quelqu'un arrive a
penetrer celui ci, il ne puisse pas avancer assez vite pour faire des
degats avant que tu n'aies pu le "virer" de ton systeme

comment fait on pour ca ? un prgm maison qui surveille un top ?

(mieux vaut quand
meme eviter qu'on accede a ton systeme...).

:-D

Il est important aussi d'essayer de blinder ton systeme quand il
communique avec d'autres: il faut toujours considerer une donnÈe provenant
de l'exterieur comme potentiellement "dangereuse" (ca va de verifier ce
que les visiteurs de ton site tapent dans tes formulaires jusqu'a verifier
les signatures des tarballs downloadÈs).

ok
enfin pour ce qui est de ce que je telecharge je verrais plus tard,
parce que ca doit pas etre si courant si ?

pour ce qui est de scanner minutieusement tout ce qu'on m'envoi sans
requette de ma part, je suis d'accord :-)
c'est meme pour ca que je suis l? ;-)

Cela passe par (liste non exhaustive, dans l'ordre de ce qui me passe par
la tete) :

- Mise a jour reguliere des serveurs (Apache) certes, mais AUSSI des
outils ! Par exemple: les bin-utils, les file-utils, slocate, rsync
(client), etc. Car sinon ils peuvent etre un moyen d'obtenir des
privileges plus importants pour un pirate qui n'a que des droits limitÈs.

ok
pour ce qui est d'apache, j'en suis ? la version 1.3.29
ca va ?

- Programmation SECURISEE des scripts type PHP par exemple, si tu en as

j'ai pas

- Oublier ce qui permet de gagner du temps au detriment de la securitÈ:
affichage des erreurs PHP sur les pages Web, etc (je parle de PHP parce
que c'est ce qui me vient a l'esprit mais c'est valable pour tous les
languages interpretÈs cotÈ serveur, ou encore pour les CGI compilÈs),
tout faire tourner en root (pas bien du tout), etc Idem, meme si c'est
chiant, si ton systeme a ete compromis, reinstalle le... meme si
visiblement la personne qui est entrÈe n'a pas pu passer root.

tout ? fait d'accord

- Securisation du systeme: faire attention aux droits qu'on donne aux
utilisateurs (groupes, permissions sur le systeme de fichiers, ...), ne

tout ? fait d'accord

pas utiliser de programme dont on ne connais pas suffisamment le
fontionnement (sinon on peut oublier certaines de ses caracteristiques
qui, combinÈes a d'autres programmes, peuvent avoir des effets ennuyeux),

ah ca ca va etre dur, je me bats avec des trucs dont j'essaye de
comprendre le fonctionnement ;-)
dont apache d'ailleurs ;-)

Ceci est valable pour Apache: si possible, il faut tourner en suexec, afin
de limiter les droits d'accÈs.

qq c'est ?
c'est en root, par defaut, sous mac os x ?

On peut aussi chrooter Apache, mais ca ne
me parait guerre adaptÈ a ton cas (c'est une bonne chose mais il faut
savoir le faire).

qq c'est aussi ?

Ne pas installer des modules de partout et laisser la
config par defaut.

ok

LIRE TOUS LES FICHIERS DE CONF, et ENTIEREMENT !

pas de pb ! ils sont o ? ;-)

est ce que tu m'autorise ? les poster ici ou ? les mettre en ligne, pour
que tu puisse les controler toi meme ? (ou qqn d'autre)

L?
encore, on remarque souvent de droles de choses ! C'est comme ceux qui
mettent un point d'accÈs Wifi et qui ne touchent pas a la config par
defaut... c'est mal(tm). Tu parles d'un Apache "en config standard", tu as
lu les fichiers de conf au moins ? C'est la seule facon d'avoir une vision
globale de ce qu'Apache fait/peut faire sur ton systeme... si tu ne sais
pas ca (je ne prÈtent pas que c'est le cas, je previens juste), comment
peux tu utiliser ton systeme en securitÈ ?..

c'est justement pour ca que je suis l? !! ... ;-)

par ex je vois dans les logs qu'il y a du SEARCH et du OPTION :
je voudrais qu'apache reponde ? ca systematiquement par la negative,
qu'il ne permette que la lecture simple

pas de php, pas de perl, pas de BDD, pas de cgi, .....

- Lecture reguliere des logs...

ok, je penses faire un prgm pour les scanner

- Lire fr.comp.securite ;) Ca donne des idÈes :)

:-)

En esperant que ma reponse te fut utile...

trËs :-)))

ps : je remets sur fr.comp.infosystemes.www.serveurs parce que je crois
que ca a sa place l? bas aussi :-)

--
"In a world without walls and fences, who needs windows and gates ?"
"petit Free qui devient grand, gêne les requins blancs"

Vous avez filtré cet utilisateur ! Consultez son message

j'ai la fleme de remetre les accents comme il faut, désolé
j'espere que ca sera quand meme lisible :-)

In article (Dans l'article)
,
"Bertrand" wrote (Ècrivait):

[fu2 fr.comp.securite (moderÈ)]

Salut,

il n'y a qu'un seul endroit par lequel on peut rentrer dans mon
ordinateur : le serveur web (appache)

Il n'y a jamais qu'un seul point d'entrÈe dans un systeme quel qu'il
soit.

ok,
je parlais seulement du cas o le pirate veut rentrer chez nous, alors
qu'il n'y a aucune activitÈ particuliere :

il y a un routeur, qui arrete tout sauf 2 choses : le vpn qu'il prends
pour lui, et le web qu'il transfere
donc si le serveur web est trouÈ, il peut rentrer comme ca

--> c'est pour ca que j'y porte une attention particuliere

Exemple: tu va chercher tes mails avec cette machine ? Alors si le
client que tu utilises est buggÈ/trouÈ, le serveur en face pourra
rentrer dans ton systeme.

que le serveur ? pas n'importe qui ?
je fais confiance ? free

je fais confiance ? un minimum de gens, quand meme, pour limiter la
paranoia et le travail rÈsultant
surtout des gens qui ont tres tres peu de chances de nous vouloir du
mal, meme si c'est jamais completement impossible

le serveur web, n'importe quel script kidie du bout du monde peut le
contacter

C'est un vecteur comme un autre.

ok

Autre exemple: cette machine... tu telecharges des trucs avec, non ? Par
exemple, des programmes ? Si tu ne verifies pas les signatures de ce que
tu telecharges, quelqu'un pourrait se mettre entre toi et le serveur de
telechargement (ca s'appelle du Man In The Middle et il y a 36 facons de le
faire)

il y a 36 facons de le faire,
mais est ce que /n'importe qui/ peut le faire ?

je croyais qu'il *fallait* etre "sur le chemin" du fichier tÈlÈchargÈ
je choisis de faire confiance aux opÈrateurs rÈseau (au moins pour
l'instant) sinon c'est trop compliquÈ ...

euh, rassures moi, quand je telecharges qqch,
ca part que qqn de privÈ, mais ensuite, ca ne passe que par des gens qui
ont des semblants d'engagement de confidentialitÈ, non ? (sortes
d'opÈrateurs, non ?)

pour trojanner les fichiers telechargÈs, ce qui permet de faire
pleeein de choses: installer un rootkit, ouvrir un shell root, etc.

je recommande aux employÈs de ne pas installer de prgm qui reclament un
mdp d'admin sans mon autorisation

Bref, ne t'imagines pas que si ton Apache est "secure" alors tu es
protegÈ.

ok, dans une certaine mesure

par ex j'ai entendu parler de buffer overflow est ce que appache est au
point l? dessus ?

Les buffer overflows sont des [...]

ok, mais de tt facons j'ai lu ca
http://www.securiteinfo.com/attaques/hacking/buff.shtml
et donc je m'inquiettais de savoir si appache etait vulnÈrable (reponse
finalement evidente), et surtout, ? partir de quelle version il ne l'est
plus :-)

Il n'y a pas que les buffer overflows comme bugs de secu, on a aussi par
exemple les erreurs de chaines de format, les buffers underruns, etc,
chaque bug pouvant avoir une severitÈ plus ou moins importante... c'est a
voir selon chaque cas.

et tu sais pas si appache est vulnerable ? telle ou telle attaque ?

Mais il y a aussi les "features" de certains
programmes qui peuvent provoquer de graves problemes de securitÈ couplÈ a
des "features" d'autres programmes. Exemple: les variables d'environnement
LD_* avec un daemon SSH utilisant un wrapper genre /sbin/nologin compilÈ
dynamiquement, si l'utilisateur a accÈs a son ~/.ssh

Bref, c'est la jungle. Mais je te rassure, pas besoin de connaitre tous
les details pour reussir a obtenir un niveau de securitÈ convenable. Il
faut juste faire un minimum attention... et etre un minimum parano ;)

je ne connais pas tous les details, et j'espere avoir ceux qu'il me faut
dans ce forum :-)
merci pour ta longue reponse, et j'espere que tu voudra bien continuer
:-)

j'ai vu dans mes logs des trucs immenses, je suppose que c'etait ca le
but de ces attaques

A priori, oui.

ok
erreur 414 donc ca doit etre bon,
mais c'est pas parce que l'erreur a ÈtÈ correctement loggÈe qu'il n'y a
pas eu de buffer overflow dans la foulÈe, n'est ce pas ? ;-)

Bon, ton souci etant d'avoir une config securisÈe, il est important que
tu comprennes que tu ne peux pas securiser totalement Apache, comme tu ne
peux pas securiser totalement ton systeme.

ah ?
je croyais que c'etait possible de configurer appache de facon ? ce
qu'il ne permette que de la lecture, aucune modif d'aucune sorte, et
qu'ainsi on controle parfaitement ce qu'il fait (cad pas grand chose)

Par contre, ce que tu peux
faire, c'est limiter au maximum les possibilitÈs d'intrusion, et
cloisonner un maximum ton systeme

oui j'aimerais bien :-)

pour que, meme si quelqu'un arrive a
penetrer celui ci, il ne puisse pas avancer assez vite pour faire des
degats avant que tu n'aies pu le "virer" de ton systeme

comment fait on pour ca ? un prgm maison qui surveille un top ?

(mieux vaut quand
meme eviter qu'on accede a ton systeme...).

:-D

Il est important aussi d'essayer de blinder ton systeme quand il
communique avec d'autres: il faut toujours considerer une donnÈe provenant
de l'exterieur comme potentiellement "dangereuse" (ca va de verifier ce
que les visiteurs de ton site tapent dans tes formulaires jusqu'a verifier
les signatures des tarballs downloadÈs).

ok
enfin pour ce qui est de ce que je telecharge je verrais plus tard,
parce que ca doit pas etre si courant si ?

pour ce qui est de scanner minutieusement tout ce qu'on m'envoi sans
requette de ma part, je suis d'accord :-)
c'est meme pour ca que je suis l? ;-)

Cela passe par (liste non exhaustive, dans l'ordre de ce qui me passe par
la tete) :

- Mise a jour reguliere des serveurs (Apache) certes, mais AUSSI des
outils ! Par exemple: les bin-utils, les file-utils, slocate, rsync
(client), etc. Car sinon ils peuvent etre un moyen d'obtenir des
privileges plus importants pour un pirate qui n'a que des droits limitÈs.

ok
pour ce qui est d'apache, j'en suis ? la version 1.3.29
ca va ?

- Programmation SECURISEE des scripts type PHP par exemple, si tu en as

j'ai pas

- Oublier ce qui permet de gagner du temps au detriment de la securitÈ:
affichage des erreurs PHP sur les pages Web, etc (je parle de PHP parce
que c'est ce qui me vient a l'esprit mais c'est valable pour tous les
languages interpretÈs cotÈ serveur, ou encore pour les CGI compilÈs),
tout faire tourner en root (pas bien du tout), etc Idem, meme si c'est
chiant, si ton systeme a ete compromis, reinstalle le... meme si
visiblement la personne qui est entrÈe n'a pas pu passer root.

tout ? fait d'accord

- Securisation du systeme: faire attention aux droits qu'on donne aux
utilisateurs (groupes, permissions sur le systeme de fichiers, ...), ne

tout ? fait d'accord

pas utiliser de programme dont on ne connais pas suffisamment le
fontionnement (sinon on peut oublier certaines de ses caracteristiques
qui, combinÈes a d'autres programmes, peuvent avoir des effets ennuyeux),

ah ca ca va etre dur, je me bats avec des trucs dont j'essaye de
comprendre le fonctionnement ;-)
dont apache d'ailleurs ;-)

Ceci est valable pour Apache: si possible, il faut tourner en suexec, afin
de limiter les droits d'accÈs.

qq c'est ?
c'est en root, par defaut, sous mac os x ?

On peut aussi chrooter Apache, mais ca ne
me parait guerre adaptÈ a ton cas (c'est une bonne chose mais il faut
savoir le faire).

qq c'est aussi ?

Ne pas installer des modules de partout et laisser la
config par defaut.

ok

LIRE TOUS LES FICHIERS DE CONF, et ENTIEREMENT !

pas de pb ! ils sont o ? ;-)

est ce que tu m'autorise ? les poster ici ou ? les mettre en ligne, pour
que tu puisse les controler toi meme ? (ou qqn d'autre)

L?
encore, on remarque souvent de droles de choses ! C'est comme ceux qui
mettent un point d'accÈs Wifi et qui ne touchent pas a la config par
defaut... c'est mal(tm). Tu parles d'un Apache "en config standard", tu as
lu les fichiers de conf au moins ? C'est la seule facon d'avoir une vision
globale de ce qu'Apache fait/peut faire sur ton systeme... si tu ne sais
pas ca (je ne prÈtent pas que c'est le cas, je previens juste), comment
peux tu utiliser ton systeme en securitÈ ?..

c'est justement pour ca que je suis l? !! ... ;-)

par ex je vois dans les logs qu'il y a du SEARCH et du OPTION :
je voudrais qu'apache reponde ? ca systematiquement par la negative,
qu'il ne permette que la lecture simple

pas de php, pas de perl, pas de BDD, pas de cgi, .....

- Lecture reguliere des logs...

ok, je penses faire un prgm pour les scanner

- Lire fr.comp.securite ;) Ca donne des idÈes :)

:-)

En esperant que ma reponse te fut utile...

trËs :-)))

ps : je remets sur fr.comp.infosystemes.www.serveurs parce que je crois
que ca a sa place l? bas aussi :-)

--
"In a world without walls and fences, who needs windows and gates ?"
"petit Free qui devient grand, gêne les requins blancs"

chris

01/08/2004 à 16:13

Un conseil quand même:
Evite de filer ta config sur le forum! Car si l'adresse de ton serveur
est la meme que celle avec laquelle tu envois tes posts, tu risque de
voir des tas de log douteux sur ton serveur!! Car en tapant "simplement"
ton adresse IP du post (que je ne siterais pas mais que tout le monde
peut avoir (81...)) je suis tombé sur un serveur apache ver 1.3.29 sur
une machine lydie.local. Ca pourrait correspondre un peu a ton serveur!
Mais je peux me tromper!
Chris

Bertrand

02/08/2004 à 00:06

Salut,

Bon, j'avais encore pondu une reponse de 4242 lignes, mais je me suis auto
moderé. Avant d'aller plus loin j'aimerai que tu repondes a quelques
questions, parce que là c'est assez desagreable de te repondre puisque je
nage dans l'inconnu, essayant de te conseiller alors que je ne sais meme
pas ce que tu veux faire. J'aimerai autant que possible eviter d'etre
"hors sujet" en te conseillant des solutions inadaptées.

- Qu'est ce que tu vas heberger sur ce serveur ? Un site, plusieurs ? Quel
contenu ?
- Quelle sera la frequentation du site ?
- As tu reelement besoin d'Apache, ou un autre daemon irait ?
- La machine en question fera-t-elle office uniquement de serveur Web ?
- Elle tourne sous quoi cette machine ? Tu la met a jour comment ?

Deja là ca devrait m'eclairer un peu... il est inutile que je t'explique
comment batir une forteresse autour d'Apache si Apache n'est pas ce qu'il
te faut.

Sinon, je reste sur fr.comp.securite. Libre a toi de poster ailleurs :)

@+
Bertrand

Thomas

06/08/2004 à 19:40

In article (Dans l'article) ,
"Bertrand" wrote (écrivait) :

Salut,

salut :-)
excuses moi j'ai des pb d'acces à internet en ce moment

Bon, j'avais encore pondu une reponse de 4242 lignes, mais je me suis auto
moderé.

ben j'espere que tu l'a gardée dans un coin :-)
je la soupconne d'etre tres interessante meme si elle est HS ;-)

(en particulier si tu voulais insister par ex sur "attention, le man in
the midle c'est bien plus facile/frequent qu'on crois" ou des trucs du
genre, ca m'interesse d'avoir ton avis :-) )

Avant d'aller plus loin j'aimerai que tu repondes a quelques
questions, parce que là c'est assez desagreable de te repondre puisque je
nage dans l'inconnu, essayant de te conseiller alors que je ne sais meme
pas ce que tu veux faire.

je te comprends :-)

J'aimerai autant que possible eviter d'etre
"hors sujet" en te conseillant des solutions inadaptées.

- Qu'est ce que tu vas heberger sur ce serveur ? Un site, plusieurs ? Quel
contenu ?

pour commencer, principalement des fichiers pour demander de l'aide

ca peut aussi servir pour eviter de devoir uploader à chaque essai :
http://validator.w3.org/check?uri=http://81.56.128.208/~lydie/

ca peut aussi heberger notre site, si on se rend compte que c'est mieux
comme ca qu'hébergé par free,

et surtout, si on veut rajouter des fonctionnalités (comme php), que
free ne permet pas,
on gagnera à la fois le fait d'avoir notre site chez nous et d'avoir
gardé apache : y a plus qu'à activer la fonction :-)
(il va sans dire que je repasserais ici pour m'assurer de la sécurité
;-) )

- Quelle sera la frequentation du site ?

faible

- As tu reelement besoin d'Apache, ou un autre daemon irait ?

je crois que c'est le meilleur dans ma situation,
il est reputé tres fiable, il est livré et mis à jour en meme temps que
ma os x, activé d'un clic ....

- La machine en question fera-t-elle office uniquement de serveur Web ?

non, c'est un poste de travail
j'ai pris soin de prendre un poste de travail different pour le serveur
de fichier et pour le serveur web ;-)

la société n'a pas de besoins suffisement importants pour avoir un ordi
qui ne serve pas de poste de travail (euh c'est assez clair ce que je
dis ?)

- Elle tourne sous quoi cette machine ?

mac os x
http://www.apple.com/fr/macosx/

Tu la met a jour comment ?

en mettant à jour le systeme
http://www.apple.com/support/downloads/securityupdate_2004-05-03_(10_2_8_
Client).html

Deja là ca devrait m'eclairer un peu... il est inutile que je t'explique
comment batir une forteresse autour d'Apache si Apache n'est pas ce qu'il
te faut.

Sinon, je reste sur fr.comp.securite. Libre a toi de poster ailleurs :)

je voulais le poster aussi sur le forum d'apache, vu qu'il y en avait la
moitié qui parlait de sa configuration,
mais le moderateur a pas voulu :-(

alors comme t'as répondu j'ai pas reposté dans l'autre forum

c'est bete, ca me prive peut etre de reponses interessantes qu'on
m'aurait fait sur l'autre forum ...

--
"In a world without walls and fences, who needs windows and gates ?"
"petit Free qui devient grand, gêne les requins blancs"

In article (Dans l'article) <pan.2004.08.01.22.11.00.45615@cykian.net>,
"Bertrand" <usenet@cykian.net> wrote (écrivait) :

Salut,

salut :-)
excuses moi j'ai des pb d'acces à internet en ce moment

Bon, j'avais encore pondu une reponse de 4242 lignes, mais je me suis auto
moderé.

ben j'espere que tu l'a gardée dans un coin :-)
je la soupconne d'etre tres interessante meme si elle est HS ;-)

(en particulier si tu voulais insister par ex sur "attention, le man in
the midle c'est bien plus facile/frequent qu'on crois" ou des trucs du
genre, ca m'interesse d'avoir ton avis :-) )

Avant d'aller plus loin j'aimerai que tu repondes a quelques
questions, parce que là c'est assez desagreable de te repondre puisque je
nage dans l'inconnu, essayant de te conseiller alors que je ne sais meme
pas ce que tu veux faire.

je te comprends :-)

J'aimerai autant que possible eviter d'etre
"hors sujet" en te conseillant des solutions inadaptées.

- Qu'est ce que tu vas heberger sur ce serveur ? Un site, plusieurs ? Quel
contenu ?

pour commencer, principalement des fichiers pour demander de l'aide
<fantome.forums.deContes-5B5E5C.13042006082004@news1-e.proxad.net>
<fantome.forums.deContes-D602F8.18064406082004@news1-e.proxad.net>

ca peut aussi servir pour eviter de devoir uploader à chaque essai :
http://validator.w3.org/check?uri=http://81.56.128.208/~lydie/

ca peut aussi heberger notre site, si on se rend compte que c'est mieux
comme ca qu'hébergé par free,

et surtout, si on veut rajouter des fonctionnalités (comme php), que
free ne permet pas,
on gagnera à la fois le fait d'avoir notre site chez nous et d'avoir
gardé apache : y a plus qu'à activer la fonction :-)
(il va sans dire que je repasserais ici pour m'assurer de la sécurité
;-) )

- Quelle sera la frequentation du site ?

faible

- As tu reelement besoin d'Apache, ou un autre daemon irait ?

je crois que c'est le meilleur dans ma situation,
il est reputé tres fiable, il est livré et mis à jour en meme temps que
ma os x, activé d'un clic ....

- La machine en question fera-t-elle office uniquement de serveur Web ?

non, c'est un poste de travail
j'ai pris soin de prendre un poste de travail different pour le serveur
de fichier et pour le serveur web ;-)

la société n'a pas de besoins suffisement importants pour avoir un ordi
qui ne serve pas de poste de travail (euh c'est assez clair ce que je
dis ?)

- Elle tourne sous quoi cette machine ?

mac os x
http://www.apple.com/fr/macosx/

Tu la met a jour comment ?

en mettant à jour le systeme
http://www.apple.com/support/downloads/securityupdate_2004-05-03_(10_2_8_
Client).html

Deja là ca devrait m'eclairer un peu... il est inutile que je t'explique
comment batir une forteresse autour d'Apache si Apache n'est pas ce qu'il
te faut.

Sinon, je reste sur fr.comp.securite. Libre a toi de poster ailleurs :)

je voulais le poster aussi sur le forum d'apache, vu qu'il y en avait la
moitié qui parlait de sa configuration,
mais le moderateur a pas voulu :-(

alors comme t'as répondu j'ai pas reposté dans l'autre forum

c'est bete, ca me prive peut etre de reponses interessantes qu'on
m'aurait fait sur l'autre forum ...

--
"In a world without walls and fences, who needs windows and gates ?"
"petit Free qui devient grand, gêne les requins blancs"

Vous avez filtré cet utilisateur ! Consultez son message

In article (Dans l'article) ,
"Bertrand" wrote (écrivait) :

Salut,

salut :-)
excuses moi j'ai des pb d'acces à internet en ce moment

Bon, j'avais encore pondu une reponse de 4242 lignes, mais je me suis auto
moderé.

ben j'espere que tu l'a gardée dans un coin :-)
je la soupconne d'etre tres interessante meme si elle est HS ;-)

(en particulier si tu voulais insister par ex sur "attention, le man in
the midle c'est bien plus facile/frequent qu'on crois" ou des trucs du
genre, ca m'interesse d'avoir ton avis :-) )

Avant d'aller plus loin j'aimerai que tu repondes a quelques
questions, parce que là c'est assez desagreable de te repondre puisque je
nage dans l'inconnu, essayant de te conseiller alors que je ne sais meme
pas ce que tu veux faire.

je te comprends :-)

J'aimerai autant que possible eviter d'etre
"hors sujet" en te conseillant des solutions inadaptées.

- Qu'est ce que tu vas heberger sur ce serveur ? Un site, plusieurs ? Quel
contenu ?

pour commencer, principalement des fichiers pour demander de l'aide

ca peut aussi servir pour eviter de devoir uploader à chaque essai :
http://validator.w3.org/check?uri=http://81.56.128.208/~lydie/

ca peut aussi heberger notre site, si on se rend compte que c'est mieux
comme ca qu'hébergé par free,

et surtout, si on veut rajouter des fonctionnalités (comme php), que
free ne permet pas,
on gagnera à la fois le fait d'avoir notre site chez nous et d'avoir
gardé apache : y a plus qu'à activer la fonction :-)
(il va sans dire que je repasserais ici pour m'assurer de la sécurité
;-) )

- Quelle sera la frequentation du site ?

faible

- As tu reelement besoin d'Apache, ou un autre daemon irait ?

je crois que c'est le meilleur dans ma situation,
il est reputé tres fiable, il est livré et mis à jour en meme temps que
ma os x, activé d'un clic ....

- La machine en question fera-t-elle office uniquement de serveur Web ?

non, c'est un poste de travail
j'ai pris soin de prendre un poste de travail different pour le serveur
de fichier et pour le serveur web ;-)

la société n'a pas de besoins suffisement importants pour avoir un ordi
qui ne serve pas de poste de travail (euh c'est assez clair ce que je
dis ?)

- Elle tourne sous quoi cette machine ?

mac os x
http://www.apple.com/fr/macosx/

Tu la met a jour comment ?

en mettant à jour le systeme
http://www.apple.com/support/downloads/securityupdate_2004-05-03_(10_2_8_
Client).html

Deja là ca devrait m'eclairer un peu... il est inutile que je t'explique
comment batir une forteresse autour d'Apache si Apache n'est pas ce qu'il
te faut.

Sinon, je reste sur fr.comp.securite. Libre a toi de poster ailleurs :)

je voulais le poster aussi sur le forum d'apache, vu qu'il y en avait la
moitié qui parlait de sa configuration,
mais le moderateur a pas voulu :-(

alors comme t'as répondu j'ai pas reposté dans l'autre forum

c'est bete, ca me prive peut etre de reponses interessantes qu'on
m'aurait fait sur l'autre forum ...

--
"In a world without walls and fences, who needs windows and gates ?"
"petit Free qui devient grand, gêne les requins blancs"

securite serveur web

6 réponses

Veuillez sélectionner un problème