[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux-team] securiser un serveur



On Wed, Aug 11, 1999 at 10:04:57AM +0000, Alec Effinger wrote:
> Hi all,
> 
> J'ai installe Redhat 5.2 sur une machine connectee a 
> Internet (via le LAN).
> 
> La machine offre ou doit offrir les services suivants  :
> - serveur web
> - serveur ftp
> - serveur mail (SMTP, POP3 et IMAP)
> - acces telnet (pour l'administration du serveur 
> uniquement)
> 
> Quelles sont les mesures a prendre pour securiser au 
> maximum ce serveur (a part le debrancher du LAN bien sur).
Supprime l'accès telnet, c'est très peu sur.
Remplace-le plutôt par SSH (Secure SHell) qui permet aussi de
faire un tunnel encrypté pour FTP, X, POP3, ...

Sinon, vérifie bien /etc/inetd.conf et vire tout ce dont tu
n'as pas besoin (aussi des services "builtin" de inetd comme
ECHO - ça permet trop souvent un flooding de la machine).

Une bonne idée aussi est de remplacer inetd par xinetd qui
est plus élégant à configurer mais surtout a beaucoup plus
d'options côté sécurité (nbe max d'éxécutions par sec. ou
par minute, etc...).

Contrôle bien l'accès aux services en passant par les
TCP wrappers (tcpd, cf. /etc/hosts.allow et /etc/hosts.deny):
cela te permet de limiter l'accès à certains services en
fonction de l'IP de la machine qui veut l'utiliser.
p.ex. autorise le SSH uniquement à partir d'une ou deux
machines du LAN

Si tu a l'intention d'utiliser WebMin (http://www.webmin.com/webmin)
pour administrer ton serveur à distance via un browser, veille à
installer OpenSSL et le module Perl::SSL pour que toute la communication
soit encryptée.

Pour détecter si la caisse a été hackée, fais dupliquer le syslog
via le réseau (cf. /etc/syslog.conf) vers une autre caisse du LAN.

Ah, oui: choisis des bons mots de passe, càd: longs (8), avec des
chiffres et des lettres et pas un mot (qui a un sens ;)), de
préférence. Si tu veux être sur, fais cracker ton /etc/shadow
par "john" (the ripper).

Bon, voilà, pour un début...

-- 
  -o) / Pascal Bleser          ATOS Payment Systems|
  /\\ \ C++/UNIX Development        Aachen, Germany|
 _\_v  \<guru@linuxbe.org> <pbleser@atos-group.com>|
---------------------------------------------------|
Hanson's Treatment of Time:                        :
 There are never enough hours in a day, but always :
 too many days before Saturday.                    :
---------------------------------------------------'

---------
Visit the Linux Supertore Online: http://www.redcorp.com !
If you want to be deleted from the list, send a mail to
majordomo@rtfm.be with "unsubscribe linux-team" in the body.