xpost et fu2,
cela dit je savais pas trop vers quel forum il fallait mieux faire suivre
je suis sous mac os x
je programme un serveur web
j'aimerais pouvoir mettre en ligne ce serveur web, même si il n'est pas
fini, notamment pour que les gens puissent donner leur avis
comme c'est en cours de programmation, il peut y avoir des bugs qui
permettent à des pirates de prendre le contrôle du logiciel
(ça me parait peu probable, mais on sait jamais ...)
question :
qu'est ce que j'ai à faire, pour maximiser la sécurité de mon ordi ?
- je vais le faire tourner sous l'utilisateur www
(je crois que c'est celui là qui est utilisé par apache,
donc probablement qu'apple a deja blindé pas mal de trucs en sorte de
les interdire à l'utilisateur www, au cas où un pirate prenne le
contrôle d'apache ?)
- j'ai interdit l'accès aux autres à mon dossier de départ
il y a d'autres choses à faire ?
--
j'agis contre l'assistanat, je travaille dans une SCOP !
Le faire fonctionner sur sa propre machine, en DMZ.
"sa propre machine" c'est une machine dédiée au logiciel en test ?
Yep, une machine dédiée au serveur web. Honnêtement, mettre un serveur web public, même un logiciel fiable et stable (mettons, Apache), sur ta machine "principale", c'est du suicide.
j'ai pas, et j'ai pensé louer un serveur dédié, mais j'aimerais éviter tant que c'est pas assez aboutit pour avoir des clients qui permettent de le payer
Il y a des offres vraiment pas cher chez Free (http://www.dedibox.fr/) et OVH (http://www.kimsufi.com/) -- respectivement 36 et 24 EUR par mois. C'est probablement très peu fiable, mais bon, pour un serveur en test, c'est suffisant.
On 26 Oct 2007 20:44:54 GMT, Thomas :
Le faire fonctionner sur sa propre machine, en DMZ.
"sa propre machine" c'est une machine dédiée au logiciel en test ?
Yep, une machine dédiée au serveur web.
Honnêtement, mettre un serveur web public, même un logiciel fiable et
stable (mettons, Apache), sur ta machine "principale", c'est du
suicide.
j'ai pas, et j'ai pensé louer un serveur dédié, mais j'aimerais éviter
tant que c'est pas assez aboutit pour avoir des clients qui permettent
de le payer
Il y a des offres vraiment pas cher chez Free (http://www.dedibox.fr/)
et OVH (http://www.kimsufi.com/) -- respectivement 36 et 24 EUR par
mois. C'est probablement très peu fiable, mais bon, pour un serveur en
test, c'est suffisant.
Le faire fonctionner sur sa propre machine, en DMZ.
"sa propre machine" c'est une machine dédiée au logiciel en test ?
Yep, une machine dédiée au serveur web. Honnêtement, mettre un serveur web public, même un logiciel fiable et stable (mettons, Apache), sur ta machine "principale", c'est du suicide.
j'ai pas, et j'ai pensé louer un serveur dédié, mais j'aimerais éviter tant que c'est pas assez aboutit pour avoir des clients qui permettent de le payer
Il y a des offres vraiment pas cher chez Free (http://www.dedibox.fr/) et OVH (http://www.kimsufi.com/) -- respectivement 36 et 24 EUR par mois. C'est probablement très peu fiable, mais bon, pour un serveur en test, c'est suffisant.
kurtz le pirate
In article , Thomas wrote:
non, c'est un serveur web :
hoops, désolé. j'ai mal lu.
-- klp
In article
<fantome.forums.tDeContes-AD7A4A.20484226102007@news.proxad.net>,
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
Honnêtement, mettre un serveur web public, même un logiciel fiable et stable (mettons, Apache), sur ta machine "principale", c'est du suicide.
Du suicide à petit ou à long feu, selon toi ? :-)
-- Yannick Palanque
Eric Razny
Le Sat, 27 Oct 2007 08:46:07 +0000, Yannick Palanque a écrit :
Honnêtement, mettre un serveur web public, même un logiciel fiable et stable (mettons, Apache), sur ta machine "principale", c'est du suicide.
Du suicide à petit ou à long feu, selon toi ? :-)
La date du suicide n'est pas fixée, mais il a toute les chances d'être bref et brutal :)
Et si tu pense que ton appli a une défaillance (genre attaque possible par SQL injection par exemple) règle ce problème *avant* la mise en ligne, parce que dans ce cas même un reverse-proxy ne te protégera pas contre une requête normalement formée.
Le Sat, 27 Oct 2007 08:46:07 +0000, Yannick Palanque a écrit :
Honnêtement, mettre un serveur web public, même un logiciel fiable et
stable (mettons, Apache), sur ta machine "principale", c'est du
suicide.
Du suicide à petit ou à long feu, selon toi ? :-)
La date du suicide n'est pas fixée, mais il a toute les chances d'être
bref et brutal :)
Et si tu pense que ton appli a une défaillance (genre attaque possible
par SQL injection par exemple) règle ce problème *avant* la mise en
ligne, parce que dans ce cas même un reverse-proxy ne te protégera pas
contre une requête normalement formée.
Le Sat, 27 Oct 2007 08:46:07 +0000, Yannick Palanque a écrit :
Honnêtement, mettre un serveur web public, même un logiciel fiable et stable (mettons, Apache), sur ta machine "principale", c'est du suicide.
Du suicide à petit ou à long feu, selon toi ? :-)
La date du suicide n'est pas fixée, mais il a toute les chances d'être bref et brutal :)
Et si tu pense que ton appli a une défaillance (genre attaque possible par SQL injection par exemple) règle ce problème *avant* la mise en ligne, parce que dans ce cas même un reverse-proxy ne te protégera pas contre une requête normalement formée.
Thomas
In article , Eric Razny wrote:
Le Sat, 27 Oct 2007 08:46:07 +0000, Yannick Palanque a écrit :
Honnêtement, mettre un serveur web public, même un logiciel fiable et stable (mettons, Apache), sur ta machine "principale", c'est du suicide.
Du suicide à petit ou à long feu, selon toi ? :-)
La date du suicide n'est pas fixée, mais il a toute les chances d'être bref et brutal :)
Et si tu pense que ton appli a une défaillance (genre attaque possible par SQL injection par exemple) règle ce problème *avant* la mise en ligne, parce que dans ce cas même un reverse-proxy ne te protégera pas contre une requête normalement formée.
un reverse-proxy ?
en fait je veux considérer qu'il y a un risque que le pirate devienne l'utilisateur www sur ma machine comment faire en sorte qu'il ne puisse rien faire (de plus que mon serveur web, en tout cas pas devenir root) ?
-- j'agis contre l'assistanat, je travaille dans une SCOP !
In article <pan.2007.10.27.11.00.39.652169@razny.net>,
Eric Razny <news_01@razny.net> wrote:
Le Sat, 27 Oct 2007 08:46:07 +0000, Yannick Palanque a écrit :
Honnêtement, mettre un serveur web public, même un logiciel fiable et
stable (mettons, Apache), sur ta machine "principale", c'est du
suicide.
Du suicide à petit ou à long feu, selon toi ? :-)
La date du suicide n'est pas fixée, mais il a toute les chances d'être
bref et brutal :)
Et si tu pense que ton appli a une défaillance (genre attaque possible
par SQL injection par exemple) règle ce problème *avant* la mise en
ligne, parce que dans ce cas même un reverse-proxy ne te protégera pas
contre une requête normalement formée.
un reverse-proxy ?
en fait je veux considérer qu'il y a un risque que le pirate devienne
l'utilisateur www sur ma machine
comment faire en sorte qu'il ne puisse rien faire (de plus que mon
serveur web, en tout cas pas devenir root) ?
--
j'agis contre l'assistanat, je travaille dans une SCOP !
Le Sat, 27 Oct 2007 08:46:07 +0000, Yannick Palanque a écrit :
Honnêtement, mettre un serveur web public, même un logiciel fiable et stable (mettons, Apache), sur ta machine "principale", c'est du suicide.
Du suicide à petit ou à long feu, selon toi ? :-)
La date du suicide n'est pas fixée, mais il a toute les chances d'être bref et brutal :)
Et si tu pense que ton appli a une défaillance (genre attaque possible par SQL injection par exemple) règle ce problème *avant* la mise en ligne, parce que dans ce cas même un reverse-proxy ne te protégera pas contre une requête normalement formée.
un reverse-proxy ?
en fait je veux considérer qu'il y a un risque que le pirate devienne l'utilisateur www sur ma machine comment faire en sorte qu'il ne puisse rien faire (de plus que mon serveur web, en tout cas pas devenir root) ?
-- j'agis contre l'assistanat, je travaille dans une SCOP !
Eric Razny
Le Sat, 27 Oct 2007 13:33:07 +0000, Thomas a écrit :
La date du suicide n'est pas fixée, mais il a toute les chances d'être bref et brutal :)
Et si tu pense que ton appli a une défaillance (genre attaque possible par SQL injection par exemple) règle ce problème *avant* la mise en ligne, parce que dans ce cas même un reverse-proxy ne te protégera pas contre une requête normalement formée.
un reverse-proxy ?
Pour faire simple c'est un programme qui va être "entre" ton serveur et l'utilisateur et qui va retransmettre les demandes. Il va filtrer les requêtes qui ne sont pas conformes à des requêtes http d'une part, à ce que tu lui spécifie d'autre part. Il existe bien sur un risque que ce reverse proxy -proxy = mandataire - ait lui même des défaillances mais la simplicité (relative) de ce programme fait qu'il est plus facile à sécuriser à la conception et à l'écriture. Par contre si une requète bien formée joue sur une vulnérabilité de ton programme, game over.
en fait je veux considérer qu'il y a un risque que le pirate devienne l'utilisateur www sur ma machine
Cette possibilité il faut vivre avec (faille dans le serveur web lui même par exemple), par contre il faut éviter d'ajouter des facilités d'accès (par une bonne conception prenant en compte les risques avant codage, et pas après).
comment faire en sorte qu'il ne puisse rien faire (de plus que mon serveur web, en tout cas pas devenir root) ?
Des pistes t'ont été données. Comme tu semble débutant la machine virtuelle, via WMWare & co me semble appropriée, amha.
Sinon jette un oeil sur un moteur de recherche pour voir si un équivalent de jail existe pour OSX. Un chroot (man chroot + moteur de recherche) est un peut chiant à mettre manuellement en place mais, sans être forcement 100% étanche limite la casse.
Si tu envisage d'en faire une activité lucrative (rentable? :) ) ce n'est pas à priori quelques dizaines d'euro par mois qui doivent être une limitation, et un box chez un hebergeur low-cost (dedibox, ovh, oxyd etc) te permettra de te faire la main à peu de frais. Par contre fait gaffe à l'email (open-relay) et surveille tes logs, pour ne pas te faire fermer ton compte, d'une part, et ne pas emmerder les autres d'autre part.
Amha cette solution de box a aussi l'avantage de te "forcer" à apprendre des bases d'administrations, parce que je ne suis pas sur que tu trouve OS/X dispo ensuite ;). Et dans le pire des cas si ça tombe à l'eau tu aura dépensé sommes toute assez peu et tu auras eu une expérience profitable.
Eric
Le Sat, 27 Oct 2007 13:33:07 +0000, Thomas a écrit :
La date du suicide n'est pas fixée, mais il a toute les chances d'être
bref et brutal :)
Et si tu pense que ton appli a une défaillance (genre attaque possible
par SQL injection par exemple) règle ce problème *avant* la mise en
ligne, parce que dans ce cas même un reverse-proxy ne te protégera pas
contre une requête normalement formée.
un reverse-proxy ?
Pour faire simple c'est un programme qui va être "entre" ton serveur et
l'utilisateur et qui va retransmettre les demandes. Il va filtrer les
requêtes qui ne sont pas conformes à des requêtes http d'une part, à
ce que tu lui spécifie d'autre part. Il existe bien sur un risque que ce
reverse proxy -proxy = mandataire - ait lui même des défaillances mais
la simplicité (relative) de ce programme fait qu'il est plus facile à
sécuriser à la conception et à l'écriture. Par contre si une requète
bien formée joue sur une vulnérabilité de ton programme, game over.
en fait je veux considérer qu'il y a un risque que le pirate devienne
l'utilisateur www sur ma machine
Cette possibilité il faut vivre avec (faille dans le serveur web lui
même par exemple), par contre il faut éviter d'ajouter des facilités
d'accès (par une bonne conception prenant en compte les risques avant
codage, et pas après).
comment faire en sorte qu'il ne puisse rien faire (de plus que mon
serveur web, en tout cas pas devenir root) ?
Des pistes t'ont été données. Comme tu semble débutant la machine
virtuelle, via WMWare & co me semble appropriée, amha.
Sinon jette un oeil sur un moteur de recherche pour voir si un équivalent
de jail existe pour OSX. Un chroot (man chroot + moteur de recherche) est
un peut chiant à mettre manuellement en place mais, sans être forcement
100% étanche limite la casse.
Si tu envisage d'en faire une activité lucrative (rentable? :) ) ce n'est
pas à priori quelques dizaines d'euro par mois qui doivent être une
limitation, et un box chez un hebergeur low-cost (dedibox, ovh, oxyd etc)
te permettra de te faire la main à peu de frais. Par contre fait gaffe à
l'email (open-relay) et surveille tes logs, pour ne pas te faire fermer
ton compte, d'une part, et ne pas emmerder les autres d'autre part.
Amha cette solution de box a aussi l'avantage de te "forcer" à apprendre
des bases d'administrations, parce que je ne suis pas sur que tu trouve
OS/X dispo ensuite ;). Et dans le pire des cas si ça tombe à l'eau tu
aura dépensé sommes toute assez peu et tu auras eu une expérience
profitable.
Le Sat, 27 Oct 2007 13:33:07 +0000, Thomas a écrit :
La date du suicide n'est pas fixée, mais il a toute les chances d'être bref et brutal :)
Et si tu pense que ton appli a une défaillance (genre attaque possible par SQL injection par exemple) règle ce problème *avant* la mise en ligne, parce que dans ce cas même un reverse-proxy ne te protégera pas contre une requête normalement formée.
un reverse-proxy ?
Pour faire simple c'est un programme qui va être "entre" ton serveur et l'utilisateur et qui va retransmettre les demandes. Il va filtrer les requêtes qui ne sont pas conformes à des requêtes http d'une part, à ce que tu lui spécifie d'autre part. Il existe bien sur un risque que ce reverse proxy -proxy = mandataire - ait lui même des défaillances mais la simplicité (relative) de ce programme fait qu'il est plus facile à sécuriser à la conception et à l'écriture. Par contre si une requète bien formée joue sur une vulnérabilité de ton programme, game over.
en fait je veux considérer qu'il y a un risque que le pirate devienne l'utilisateur www sur ma machine
Cette possibilité il faut vivre avec (faille dans le serveur web lui même par exemple), par contre il faut éviter d'ajouter des facilités d'accès (par une bonne conception prenant en compte les risques avant codage, et pas après).
comment faire en sorte qu'il ne puisse rien faire (de plus que mon serveur web, en tout cas pas devenir root) ?
Des pistes t'ont été données. Comme tu semble débutant la machine virtuelle, via WMWare & co me semble appropriée, amha.
Sinon jette un oeil sur un moteur de recherche pour voir si un équivalent de jail existe pour OSX. Un chroot (man chroot + moteur de recherche) est un peut chiant à mettre manuellement en place mais, sans être forcement 100% étanche limite la casse.
Si tu envisage d'en faire une activité lucrative (rentable? :) ) ce n'est pas à priori quelques dizaines d'euro par mois qui doivent être une limitation, et un box chez un hebergeur low-cost (dedibox, ovh, oxyd etc) te permettra de te faire la main à peu de frais. Par contre fait gaffe à l'email (open-relay) et surveille tes logs, pour ne pas te faire fermer ton compte, d'une part, et ne pas emmerder les autres d'autre part.
Amha cette solution de box a aussi l'avantage de te "forcer" à apprendre des bases d'administrations, parce que je ne suis pas sur que tu trouve OS/X dispo ensuite ;). Et dans le pire des cas si ça tombe à l'eau tu aura dépensé sommes toute assez peu et tu auras eu une expérience profitable.
Eric
Thierry
"Thomas" a écrit dans le message de news:
j'aimerais pouvoir mettre en ligne ce serveur web, même si il n'est pas fini, notamment pour que les gens puissent donner leur avis
Si la liste des gens est finie et petite, configure ton FW pour n'accepter que leur IP
Sinon, utiliser l'authentification Apache pour que seuls les personnes invitées puisse y acceder.
"Thomas" <fantome.forums.tDeContes@free.fr.invalid> a écrit dans le message
de news: fantome.forums.tDeContes-2B8AC4.15084926102007@news.proxad.net...
j'aimerais pouvoir mettre en ligne ce serveur web, même si il n'est pas
fini, notamment pour que les gens puissent donner leur avis
Si la liste des gens est finie et petite, configure ton FW pour n'accepter
que leur IP
Sinon, utiliser l'authentification Apache pour que seuls les personnes
invitées puisse y acceder.
j'aimerais pouvoir mettre en ligne ce serveur web, même si il n'est pas fini, notamment pour que les gens puissent donner leur avis
Si la liste des gens est finie et petite, configure ton FW pour n'accepter que leur IP
Sinon, utiliser l'authentification Apache pour que seuls les personnes invitées puisse y acceder.
Thomas
In article , Thomas wrote:
je programme un serveur web
j'aimerais pouvoir mettre en ligne ce serveur web, même si il n'est pas fini, notamment pour que les gens puissent donner leur avis
comme c'est en cours de programmation, il peut y avoir des bugs qui permettent à des pirates de prendre le contrôle du logiciel (ça me parait peu probable, mais on sait jamais ...)
question :
qu'est ce que j'ai à faire, pour maximiser la sécurité de mon ordi ?
- je vais le faire tourner sous l'utilisateur www
(je crois que c'est celui là qui est utilisé par apache, donc probablement qu'apple a deja blindé pas mal de trucs en sorte de les interdire à l'utilisateur www, au cas où un pirate prenne le contrôle d'apache ?)
- j'ai interdit l'accès aux autres à mon dossier de départ
il y a d'autres choses à faire ?
je viens de penser à un truc : le disque dur externe
j'ai décoché "ignorer les autorisations" pour ce disque, mais quand je redémarre mon ordi, ça se retrouve coché ou décoché, on dirait aléatoirement :-(
qu'est ce qui se passe ? qu'est ce que ca signifie vraiment, cette option ? est ce que c'est important pour la sécurité ?
il faut bien entendu que l'utilisateur www ne puisse faire aucune modification sur le disque dur externe est ce il y a qqch à faire ?
-- j'agis contre l'assistanat, je travaille dans une SCOP !
In article
<fantome.forums.tDeContes-2B8AC4.15084926102007@news.proxad.net>,
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
je programme un serveur web
j'aimerais pouvoir mettre en ligne ce serveur web, même si il n'est pas
fini, notamment pour que les gens puissent donner leur avis
comme c'est en cours de programmation, il peut y avoir des bugs qui
permettent à des pirates de prendre le contrôle du logiciel
(ça me parait peu probable, mais on sait jamais ...)
question :
qu'est ce que j'ai à faire, pour maximiser la sécurité de mon ordi ?
- je vais le faire tourner sous l'utilisateur www
(je crois que c'est celui là qui est utilisé par apache,
donc probablement qu'apple a deja blindé pas mal de trucs en sorte de
les interdire à l'utilisateur www, au cas où un pirate prenne le
contrôle d'apache ?)
- j'ai interdit l'accès aux autres à mon dossier de départ
il y a d'autres choses à faire ?
je viens de penser à un truc :
le disque dur externe
j'ai décoché "ignorer les autorisations" pour ce disque,
mais quand je redémarre mon ordi, ça se retrouve coché ou décoché, on
dirait aléatoirement :-(
qu'est ce qui se passe ?
qu'est ce que ca signifie vraiment, cette option ?
est ce que c'est important pour la sécurité ?
il faut bien entendu que l'utilisateur www ne puisse faire aucune
modification sur le disque dur externe
est ce il y a qqch à faire ?
--
j'agis contre l'assistanat, je travaille dans une SCOP !
j'aimerais pouvoir mettre en ligne ce serveur web, même si il n'est pas fini, notamment pour que les gens puissent donner leur avis
comme c'est en cours de programmation, il peut y avoir des bugs qui permettent à des pirates de prendre le contrôle du logiciel (ça me parait peu probable, mais on sait jamais ...)
question :
qu'est ce que j'ai à faire, pour maximiser la sécurité de mon ordi ?
- je vais le faire tourner sous l'utilisateur www
(je crois que c'est celui là qui est utilisé par apache, donc probablement qu'apple a deja blindé pas mal de trucs en sorte de les interdire à l'utilisateur www, au cas où un pirate prenne le contrôle d'apache ?)
- j'ai interdit l'accès aux autres à mon dossier de départ
il y a d'autres choses à faire ?
je viens de penser à un truc : le disque dur externe
j'ai décoché "ignorer les autorisations" pour ce disque, mais quand je redémarre mon ordi, ça se retrouve coché ou décoché, on dirait aléatoirement :-(
qu'est ce qui se passe ? qu'est ce que ca signifie vraiment, cette option ? est ce que c'est important pour la sécurité ?
il faut bien entendu que l'utilisateur www ne puisse faire aucune modification sur le disque dur externe est ce il y a qqch à faire ?
-- j'agis contre l'assistanat, je travaille dans une SCOP !
