Maximus, le CMS Français simple, rapide et sécurisé

Slt,

Depuis très peu je me suis lancé dans la loc d'un serveur dédié, connaissant en surface linux, je me suis dit ben ça doit être simple et bien loin d'être si simple et je comprend mieux pourquoi l'hébergement est un vrai métier.

Mon cahier est pourtant simple, je veux installer une solution LAMP sur mon serveur pour gérer plusieurs site avec seulement moi comme utilisateur autorisé à gérer et avec un maximum de sécurité serveur, donc:

- Install debian lenny: Ok
- SSH: Ok
- Apache, Mysql, PHP : Ok
- FTP: OK avec vsftpd en SSL

Concernant les réglages des fichiers de configuration et addons (iptables, Rkhunter , etc...), pas de soucis, j'ai trouvé mon bonheur à travers le web

Mon problème est surtout lié à la structure idéale et aux permissions du système linux.

- Niveau sécurité, faut-il plutôt installer ses site web dans var/www/ ou sur un autre répertoire dédié ex: home/monuser/www/ (j'ai choisi cette dernière solution qui fonctionne et je n'ai pas utilisé le mod usedir car je n'en vois pas l'utilité sachant que je suis le seul user).

Le problème de choix vient ensuite des permissions, j'ai donc ajouter www-data à mon groupe user. Cette configuration fonctionne mais j'ai des doutes sur la sécurité, quel est le meilleur choix ?

Sinon j'ai phpmyadmin directement accessible xxx.xxx.xxx.xxxx/phpmyadmin/
C'est pas top, j'ai vu qu'on pouvait sécuriser ça via virtualhost et ssl, quelqu'un a des infos la dessus.

Merci.

Salut diabolo, rassure toi si tu es le seul utilisateur c'est relativement simple, tu peux toujours te faire 'taper' ta box c'est sûr, mais avec l'expérience on doit y parvenir
là où c'est un poil plus lourd c'est quand tu fait du multi utilisateurs ( ou que tu partages ta box - aille/aille )


phpmyadmin accessible via le nom ? c'est un dossier ? renomme le ?
si c'est un vhost, regarde dans ta config apache si un vhost existe modifie puis reload apache
SSL sur phpmyadmin, c'est jouable aussi mais si apache en est doté !

une bonne utilité et un plus est d'utiliser su php qui te permet d'avoir les fichiers à ton user et non à apache ( sinon c'est une galère sans nom ( dire que des hébergeurs filent encore une config comme ça )

pense surtout à secure ton ftp et ton ssh avant de t'attaquer à apache , installe des trucs comme fail2ban ( avec le temps tu te feras très probablement tes propres daemons, c'est très simple,terriblement efficace et bien moins gourmand )


pour l'espace user pleins de choses existent ( openbasedir par exemple, suphp, mettre php en cgi aussi est un plus bref tu te lances dans une nouvelle aventure, c'est fun ... continue je t'y encourage car c'est réellement kiffant )

sinon :
- dédié = super expérience ( mai tôt ou tard gros ennuis ... très probablement, pense à faire des backups surtout )
- debian = meilleur choix
- backup, backup ... backup

nota: j'espère pour toi que tu as pris un raid, car sans raid une machine est extrêmement fragile, un disque c'est du léger qui pète souvent ( j'en connais un rayon pour en manger régulièrement )

Slt cyril

nota: j'espère pour toi que tu as pris un raid, car sans raid une machine est extrêmement fragile, un disque c'est du léger qui pète souvent ( j'en connais un rayon pour en manger régulièrement )

Pour l'instant j'ai pris un pack tout premier prix (12euros/mois) pas en dédié mais en virtuel (RAID5), c'est plus une découverte qui je pense suffira pour quelques sites on verra par la suite pour passer à quelque chose plus sérieux si besoins...

C'est une nouvelle aventure et ça fait déjà plusieurs dizaine d'heures à se casser la tête et de XXXX réinitialisation du serveur.

pense surtout à secure ton ftp et ton ssh avant de t'attaquer à apache

Oui ça c'est fait:
-Pour ssh, Il semble que tout le monde soit à peut pret d'accord sur la secu:
http://www.cyberciti.biz/tips/linux-uni ... tices.html
http://virologie.free.fr/documents/open ... tions.html
http://mathieu-androz.developpez.com/ar ... ssh/#LIV-1
http://www.siteduzero.com/tutoriel-3-75 ... c-ssh.html

- Pour ftp c'est tout autre chose car lié au daemon utilisé, moi j'ai choisi vsftpd car il me plait bien
http://www.generation-linux.fr/index.ph ... -de-vstfpd
http://linux.developpez.com/vsftpd/
http://www.admin-debian.com/ftp/vsftpd- ... -securise/
http://www.debianaddict.org/article47.html
http://www.paradoxal.org/blog/post/2007 ... ian-vsftpd

J'ai eu quelques soucis pour le passage en ssl et ipatbles mais c'est réglé.
Faut que je regarde aussi pour le SFTP (sssh-ftp) qui me semble mieux.

Où j'ai vraiment du mal et ou il est plus dur de trouver de la doc c'est justement la structure (arborescence) à privilégier, les users/groupes/répertoires à créer, etc...Car la bonne gestion des permissions est vraiment dure à trouver entre apache vs user,Faut-il créer un utilisateur virtuel ou resté en système etc.... Les nombreux tutoriaux que j'ai parcouru sont mal faits, pas à jour, incomplets ou obsolètes...

openbasedir par exemple, suphp, mettre php en cgi

Oui je vais regardé cela notamment suphp qui m'intéresse.

Merci
@+

le choix du cossier est personnel, je ne vois aucun in convénient à utiliser tel ou tel dossier du moment ou ta/tes partition(s) sont pensées pour ça

par exemple en serveur on privilégie /var/www sou debian donc si tu place dans /home assure toi d'avoir une partition suffisante !

les trois tips cités sont important suphp pour tes droits, openbasedir poru ta sécu, php en cgi pour un bon équilibre performance sécurité


pense surtout à une chose, si ton site se fait hacker et que le serveur n'est pas ou mal protégé, il sera dès lors possible de prendre la main sur la machine
un mec balèse ne te le laissera jamais voir, un abruti du boulon va 'jouer' à te modifier tes fichiers, pass ou autres ...

dans les hacks des jours précédents j'ai parlé d'oscommerce ( car très très souvent défoncé ), et le fichier que j'ai pu retrouver à chaque fois permettait de créer un user, de s'ouvrir un accès ssh à partir du script ... tu vois la suite
pire de modifier le passe root et te foutre dehors

Oui, sans être paranoiaque niveau sécurité y a vraimment bcp de chose à gérer.

Sinon je vient d'essayer sftp via winscp et c'est top, ça semble vraiment un plus coté sécu, je pense donc virer le ftp classique .
http://www.compute-rs.com/fr/conseil-781932.htm

Code: Tout sélectionner

suphp pour tes droits, openbasedir poru ta sécu, php en cgi pour un bon équilibre performance sécurité

Oui je vais mettre en place et je crois que mon serveur sera déjà pas mal car vaut aussi que je pense à garder de mon temps pour les sites

ah oui lol l'essentiel ce sont les sites mdr il ne faut pas les oublier

C'est pour ça que je prends du dédié mais avec tout prémonté dessus. Sinon on s'en sort plus. Rien que tenir un serveur à jour (le minimum pour pas se faire hacker), y gérer les domaines et les soucis ca prend du temps. Alors tout monter soit même c'est pire.
+ les sites (contenant, sécu et contenu) et la vie perso, faut pas trop se compliquer la vie non plus lol...l'important c'est la sécu.

Slt,
Ben perso j'aime bien tout faire moi même et ceci me permet d'apprendre bcp de chose mais effectivement il faut bcp de temps.

Je pense que je vais même me faire mon serveur at home, j'ai vu que y avait du fanless qui me conviendrait en tous points
http://renaudguezennec.homelinux.org/pr ... ,3-15.html
http://www.youtube.com/watch?v=eaXacXYlAdE

slt, c'est la seule solution pour travailler vite et bien
moi j'ai une machine perso sous nunux qui ne me sert qu'à coder, je monte une interface graphique toutefois pour des questions de facilité et rapidité d'usage ( la console ça va un moment ), et ce n'est qu'un serveur de développement

bien évidemment sur un vrai serveur web pas d'interface graphique ça va de soit !
quand je vois des serveurs web sous ms avec bureau activé, je tremble pour eux ...

sinon tu as bien raison thierry je suis aussi de l'avis qu'il faut e forger seul, bosser et re-bosser tant que ce n'est pas rentré, mais une fois le savoir acquis l'autodidacte est bien plus performant qu'un théoricien ( c'est valable dans tous les domaine ), parce qu'il s'est tellement cassé le noeud souvent qu'il connait déjà un très grand nombre de pièges à c..

marrant en te lisant, je me revois toujours quelques années en arrière ... ça ... mon petit doigt me dit ... que tu as vraiment chopé le même 'virus' que moi

so fun ! éclate toi bien surtout, se faire les c... sur un binz ce n'est que du plaisir une fois les étapes franchies

je suis toujours du type à me mettre devant un mur de plus en plus haut et trouver la solution pour le franchir, et une fois réalisé, je m'en construis un autre encore plus dur, voire impossible à franchir et ainsi de suite

le truc fun en informatique c'est que la seule limite ... c'est la créativité ... et le travail bien sûr !

Slt,
Ca se précise et finalise

J'ai trouvé une alternative à suphp qui me semble intéressante et fonctionnelle dans mon cas.
http://www.area51.fr/2010/11/07/apache2 ... -identite/

Me reste que la sécurisation de phpmyadmin et ça roule

Validé par débian mais encore expérimental.

Mais intéressant!

oui intéressant mais un bon suphp c'est quand même simple et super fiable

au fait je ne te l'ai pas précisé mais ton dossier apache se doit d'appartenir à un utilisateur qui n'a que ces droits, en aucun cas root ou l'utilisateur que tu utilises pour te connecter à ton ssh

sans quoi la moindre faille ( php, apache, ou autre ) permettra de remonter dans ton /etc par exemple, tu devineras la suite ...

regarde par exemple la faille oscommerce à laquelle j'ai fait allusion ces derniers jours, permet de balancer sur le FTP un script de ton choix, dans les cas de ces derniers jours le script que j'ai vu est extrêmement dangereux car il donne une contrôle total du serveur ( y compris des esclaves comme SQL si tu bosses sur 2 machines par exemple )
le binz est hyper bien foutu, tu peux te connecter en live au ssh à partir du script, taper sur SQL , balancer un bruteforce via dictionnaire sur tous les services etc bref utiliser la machine à 100% comme tu le sens

hors si le dossier dans lequel a été uploadé ce fichier est limité à un utilisateur et qu'il n'ait aucun autre droit, qu'il soit bien chrooté ( par évidence ) alors le script ne peut pas remonter dans l'architecture de ta debian ni se connecter au ssh ( par contre le brute forcing est jouable mais ça un simple analyseur de logs te le remonte )
moi par exemple je me suis fais des daemons qui logguent toute activité indélicate te fou in iptable de suite et me mail, suivant l'urgence je me SMS directement

bref en matière de sécurité il n'y a aucune limite, on peut aussi ( et c'est recommandé ) sécuriser son kernel etc

dans ton cas, je n'irai pas trop loin dans un premier temps non plus, parce trop de sécurité et on se retrouve des fois dans l'embarras aussi, passe par étape petit à petit sur le web on trouve pleins d'infos ( même si nombre d'infos sont incomplètes, pas à jour, ou inopérantes ) en faisant un tri on y parvient

et surtout ! backup régulièrement !

Slt,
Oui j'ai vu ça pour apache

Création d’un utilisateur Apache
Il est très important de ne JAMAIS lancer Apache avec les droits du compte superadminsitrateur
(root). Il est nécessaire de créer un utilisateur avec le moins de droits possible sur le serveur afin
qu’un pirate ne puisse pas avoir accès à l’ensemble des droits s’il y a compromission du démon
Apache.
nocrash:~# groupadd apache
nocrash:~# useradd -d /false -s /bin/false -g apache apache
Une fois le groupe et l’utilisateur créé, il est nécessaire de modifier le fichier de configuration
/etc/apache2/envvar afin de lui spécifier l’utilisateur voulu. De fichier de configuration est inclus
dans le fichier de configuration principal (/etc/apache2/httpd.conf) via une directive « include »
export APACHE_RUN_USER=apache
export APACHE_RUN_GROUP=apache
Cette étape est très importante.

Me reste encore pas mal de trucs à découvrir.

Ce qui m'étonne quand même , c'est de ne pas trouver de tutos (fr où eng) explicites et détaillés qui expliquent comment faire quelque chose de relativement sécurisé.
Je suis obligé de piocher à droite et gauche diverses infos qui des fois en faisant des regroupements ne sont pas forcément bonnes

ouai, je ne crois pas qu'il y ait quelque chose réellement séreux et bien fini
en allemand j'ai pu lire pas mal de trucs plus costauds et surtout plus d'actualité
mais en fait ça reste très ( trop ) souvent un peu 'bancal' du type ça ne fonctionne pas, erreur de saisie, ou tout simplement recopie ou traduction d'un autre billet