[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux-team] securiser un serveur
On Wed, Aug 11, 1999 at 10:04:57AM +0000, Alec Effinger wrote:
> Hi all,
>
> J'ai installe Redhat 5.2 sur une machine connectee a
> Internet (via le LAN).
>
> La machine offre ou doit offrir les services suivants :
> - serveur web
> - serveur ftp
> - serveur mail (SMTP, POP3 et IMAP)
> - acces telnet (pour l'administration du serveur
> uniquement)
>
> Quelles sont les mesures a prendre pour securiser au
> maximum ce serveur (a part le debrancher du LAN bien sur).
Supprime l'accès telnet, c'est très peu sur.
Remplace-le plutôt par SSH (Secure SHell) qui permet aussi de
faire un tunnel encrypté pour FTP, X, POP3, ...
Sinon, vérifie bien /etc/inetd.conf et vire tout ce dont tu
n'as pas besoin (aussi des services "builtin" de inetd comme
ECHO - ça permet trop souvent un flooding de la machine).
Une bonne idée aussi est de remplacer inetd par xinetd qui
est plus élégant à configurer mais surtout a beaucoup plus
d'options côté sécurité (nbe max d'éxécutions par sec. ou
par minute, etc...).
Contrôle bien l'accès aux services en passant par les
TCP wrappers (tcpd, cf. /etc/hosts.allow et /etc/hosts.deny):
cela te permet de limiter l'accès à certains services en
fonction de l'IP de la machine qui veut l'utiliser.
p.ex. autorise le SSH uniquement à partir d'une ou deux
machines du LAN
Si tu a l'intention d'utiliser WebMin (http://www.webmin.com/webmin)
pour administrer ton serveur à distance via un browser, veille à
installer OpenSSL et le module Perl::SSL pour que toute la communication
soit encryptée.
Pour détecter si la caisse a été hackée, fais dupliquer le syslog
via le réseau (cf. /etc/syslog.conf) vers une autre caisse du LAN.
Ah, oui: choisis des bons mots de passe, càd: longs (8), avec des
chiffres et des lettres et pas un mot (qui a un sens ;)), de
préférence. Si tu veux être sur, fais cracker ton /etc/shadow
par "john" (the ripper).
Bon, voilà, pour un début...
--
-o) / Pascal Bleser ATOS Payment Systems|
/\\ \ C++/UNIX Development Aachen, Germany|
_\_v \<guru@linuxbe.org> <pbleser@atos-group.com>|
---------------------------------------------------|
Hanson's Treatment of Time: :
There are never enough hours in a day, but always :
too many days before Saturday. :
---------------------------------------------------'
---------
Visit the Linux Supertore Online: http://www.redcorp.com !
If you want to be deleted from the list, send a mail to
majordomo@rtfm.be with "unsubscribe linux-team" in the body.