Salut    
 
Et oui ... je m'y met finalement.
J'ai decidé de remplacer l'ancien serveur kirikoo par une bestiole un peu moins gourmande.
Du coup je me suis lancé dans une install complete d'un linux et tout et tout
 
Pour le moment je m'en sort pas trop trop mal... j'ai reussi a installer apache, mysql, phpmyadmin.
 
Par contre j'ai quelques question vis a vis des utilisateurs et des droits.
 
Je sais qu'il ne faut pas tout faire tourner en root. Donc qu'est ce que vous me conseillez?
 
Un user unique qui fait?
un user pour apache et un autre pour la base sql?
 
Pour les droits des rep www et suivant je met quoi?
 
Bref, je suis a la recherche de toute info interessante sur la config d'un serveur web
 
A vot' bon coeur les gens!

debian ? ubuntu ? plan9 ? openbsd ?

faudrait savoir hein

[edit]pas que ce soit tellement différent, mais openbsd va pas vraiment apprécier un apt-get install quelquechose

---------------
modérateur inside plankaivoo - ici powered - Je roule en micra 1l 55cv et je t'emmerde

non mais j'ai passé le stade apt-get et compagnie.
J'ai installé une debian. Mais j'ai plus besoin de conseils d'ordres generaux.

bein selon la distrib, les outils pour les ordres généraux changent parfois
 
mais bon, maintenant qu'on sait que t'as une debian, on te proposera pas d'emerger quoi que ce soit

---------------
modérateur inside plankaivoo - ici powered - Je roule en micra 1l 55cv et je t'emmerde

apache --> tu lui fait un user (par defaut wwwdata je crois)  
tu lui donne pas de shell. (/bin/false)
 
un autre user pour la BDD sql...

tu peux aussi voir pour mettre tout des fichiers du web dans, par exemple, /var/www, et chrooter apache dans ce /var/www, pour éviter l'utilisation abusive de scripts foireux point de vue sécu

---------------
modérateur inside plankaivoo - ici powered - Je roule en micra 1l 55cv et je t'emmerde

bah voila... c'est deja mieux comme reponse ^^

oublie pas les règles de firewalling pour bannir tout ce qui dépasse de 20/21 (ftp), 80 (http), 443 (https), 23 (ssh)...
configure aussi mysql pour refuser les requêtes sur une ip non locale (histoire que mysql ne soit pas accessible directement depuis le grand ternet), active l'antispoofing dans tes règles fw (si tu trouves comment faire), etc.
mais bon, si c'est derrière un routeur, tu peux faire quasi tout ca déja dessus

[edit]puis sinon tu donnes l'accès root à DrLous, et tu pries qu'il aie pas bu, et qu'il soit de bonne composition, et qu'il ait pas envie de jouer avec tes pieds/couilles/ce qui dépasse, et tu comptes jusqu'à 2, et voila

---------------
modérateur inside plankaivoo - ici powered - Je roule en micra 1l 55cv et je t'emmerde

pour le firewall en effet il est deja actif sur mon routeur d'entrée. Mais de toute facon y'auras que le 80 et un ssh d'actif sur ce serveur.
Pour la config de mysql je vais voir ca, bon conseil
 
Et pas d'acces root, a personne... c'est mon serveur, je vais me demerder

vu que t'as un linusque, tu peux aussi regarder du coté de fail2ban, de snort, ou d'autres IDS libres kivonbien

---------------
modérateur inside plankaivoo - ici powered - Je roule en micra 1l 55cv et je t'emmerde

Pour apache, www-data est crée par défaut, et c'est lui qui va exécuter/accéder à tous les fichiers des sites web.
De même pour MySQL, un user est crée pour l'exécution, et un autre pour l'administration.
 
Après, le chroot apache est pas forcé, mais dans ce cas, tu peux le faire avec vserver/openvz, ça sera plus propre pour la maintenance.
 
Après, si vraiment tu veux aller plus loin, faut voir avec des profiles SELinux ou du grsecurity.

bon par contre les combo de termes vserver/openvz, selinux et autres grsecurity c'est du chinois

ce sont des termes qui rendent le kiki de zep tout dur, c'est pour ca

---------------
modérateur inside plankaivoo - ici powered - Je roule en micra 1l 55cv et je t'emmerde

Nan, ce qui me donne le kiki tout dur, c'est un proxy OpenGL à travers Xen
 
Bref, en fait c'est différentes approches de sécurité
 
grsecurity  -> le plus bourrin, ça s'applique au niveau kernel, et ça restreint chaque utilisateur/groupe dans son /proc, la mémoire s'alloue aléatoirement, le reste est remplis avec de la merde, tu limites les attaques mitm, les BO... c'est le plus bourrin, et le plus chiant à bidouiller
 
selinux -> profils de sécurité par application, tu peux choisir quel utilisateur peut exécuter quoi, et les limites de son contexte d'exécution
 
vserver/openvz -> ce sont des modes de virtualisation low-cost, en fait c'est du chroot avancé, que tu peux isoler suivant ce que tu veux faire. C'est de la sécurité cheap, mais ça marche pas mal. En fait tu peux te faire un chroot qui contiendrait juste le serveur apache, un autre contenant le serveur sql, etc etc, et si une attaque se passe avec succès dans une de ces machines virtuelles, ça n'aura pas d'effet sur les autres machines qui tournent, et ça sera facilement contenu.

mouais, ca me parais un peu exageré pour un serveur web perso qui vas fait 100 hits par mois.

juste comme ça : fail2ban c'est useless ... 2 règles iptables et ça rulez.

à ton avis il fait quoi fail2ban ?

donc il est useless

absolument pas, c'est toi qui est useless

fail2ban il créé tes règles iptable en direct, en fonction de ce qu'il voit dans les tentatives de connexion. ce que tes règles ne font pas.

ou alors tu bannis toute tentative de connexion ssh qui ne vient pas de telle ou telle adresse IP. ce qui est con, parce que le jour ou t'es chez ta voisine, t'as pas accès à ton serveur avec ssh, et dtc

---------------
modérateur inside plankaivoo - ici powered - Je roule en micra 1l 55cv et je t'emmerde

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j LOG_DROP
 
 
ça suffit largement pour empêcher tout bruteforce.

ta qu'a faire du port knocking, ca élimine quasiment le risque de brute force

 
Ha Ha
 
La bonne blague, on voit que t'as même pas vu à quoi servait fail2ban
dans ce cas, écrase-la gentiment au lieu de proposer une solution carrément pas souple

 
Je demande juste des conseils et des avis. alors pas la peine de devenir desagreable.

Je deviens pas désagréable, mais quand on discrédite un groupe de scripts super pratiques sans donner de vraie justification, et en présentant un workaround ultra spécifique je trouve que ça n'en vaut pas la peine.
Après, si c'était seulement exceptionnel, ça irait, mais bon, je suis désolé R4v3n, mais tes réponses à la "c'est n'importe quoi, faut faire ça" alors que tu n'y connais pas grand chose, ça dérange pas mal de monde.
 
Donc tu donnes une réponse, tu expliques, comme ça même notre p'tit père m4v y trouvera son compte.
 
Donc pour fail2ban, l'avantage c'est qu'il surveille une grosse part des logs de connexion existants (apache, vsftpd, pure-ftpd, ssh, kerberos (via hack), ...) pour faire des règles de filtrage en conséquence, et pas seulement par iptables.

ZEP praisidant \o/

---------------
modérateur inside plankaivoo - ici powered - Je roule en micra 1l 55cv et je t'emmerde

le problème c'est qu'à force de tout le temps expliquer, j'en ai ras le cul, donc je donne directement l'idée.
Franchement si tu as un vrai bon script iptables, tu n'as vraiment pas besoin de fail2ban ...

bein tiens

---------------
modérateur inside plankaivoo - ici powered - Je roule en micra 1l 55cv et je t'emmerde

et sinon c'est bien fail2ban ? parce que je me demander si deux regles iptables n'irais pas simplement ?  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

si le grand marabouT de la connerie s'y met aussi
 
sinon, tu préfères quoi ? 2 règles iptables illisibles ? 2 règles pf sexy ? ou fail2ban à installer ?

---------------
modérateur inside plankaivoo - ici powered - Je roule en micra 1l 55cv et je t'emmerde

moi j'dit poudre verte

ha, ca se défend

---------------
modérateur inside plankaivoo - ici powered - Je roule en micra 1l 55cv et je t'emmerde