Sécuriser Apache, mysql, serveur ftp

Samaf · Le 25/04/2015, à 21:57

Bonjour,
Je cherches un très bon tuto qui permettrais de sécuriser apache, mysql et un serveur ftp sur un vps.

Merci d'avance

Cordialement,
Samaf

rico542 · Le 26/04/2015, à 07:51

Salut,
Je commencerai par là pour le LAMP: http://www.papygeek.com/linux/configure … e-complet/

Ensuite pour le FTP :
http://www.inetdoc.net/guides/tutoriel- … s.ftp.html (lecture juste pour te dissuader )
http://web.mit.edu/rhel-doc/4/RH-DOCS/r … r-ftp.html

Samaf · Le 26/04/2015, à 12:00

Bonjour,
Je vais donc voir pour lamp, je pensais qu'une installation manuel d'apache, mysql, php ... était beaucoup plus sécuriser mais je vais voir ça.
Pour ce qui est du ftp j'en ai absolument besoin car je souhaite héberger deux sites internet donc pour les transferts, ce sera mieux

bruno · Le 26/04/2015, à 12:43

Bonjour,

Franchement le premier lien… hum…
La sécurité d'un serveur cela ne se gère pas avec des tutos qui ne sont souvent que des recettes correspondant à un cas d'usage bien particulier. C'est un travail permanent…
Pour commencer il faut faire ton installation uniquement à partir des dépôts officiels (et surtout pas des ppa ou pis dotdeb comme dans le lien en #2), ensuite il faut maintenir ta distribution à jour et notamment faire les mises à jour de sécurité dès qu'elles sont publiées.

Pour le reste cela dépend de l'usage que tu va faire de ton serveur (services installés, utilisateurs, etc.). Il faut surtout bien garder à l'esprit que sur un serveur web le maillon le plus faible est constitué par les sites hébergés (failles de sécurité dans les CMS, injection de code, etc.).

Pour le FTP ce n'est absolument pas indispensable. Une solution SFTP avec openssh-server sera bien plus sécurisée.

Samaf · Le 26/04/2015, à 14:01

Bonjour,
Donc en gros il y aura deux sites avec une petite communauté de quelques utilisateurs. Il y aura des redirections vers deux nom de domaine. Les deux sites seront sur Wordpress, avec tous les plugins à jours. Ainsi qu'une boite mail pour chacun des deux sites.
J'ai déjà procéder à l'installation d'apache, php5, phpmyadmin et mysql mais après pour ce qui est de la sécurisation d'apache et de mysql je sais vraiment pas quoi faire car sur internet on voit de tout est de rien.

voxdemonix · Le 26/04/2015, à 14:26

Pour supprimer l'affichage de la version etc par Apache2 lors de l'affichage d'une page index par exemple, ajoutez les lignes suivantes dans le fichier /etc/apache2/apache2.conf :

    # ServerTokens : masque les versions de produits dans les headers, affiche simplement Apache
    ServerTokens Prod
    # ServerSignature : masque les versions de produits dans les pages générées par Apache
    ServerSignature Off

Dernière modification par voxdemonix (Le 08/10/2020, à 15:41)

Samaf · Le 26/04/2015, à 14:45

Pour ce qui est du certificat ssl, qu'est-ce que cela vient faire dans un site communautaire ?

voxdemonix · Le 26/04/2015, à 14:59

Si tu veux sécuriser ton serveur, le premier truc a faire c'est sécuriser la communication, que se soit un site pour des patates ou un site de banques (ça évite que n'importe quel noob qui sait faire un MITM puisse injecter du code dans tes pages (truc super facile a faire avec ettercap ou haka)).
a noter que le tuto que j'ai posté fonctionne pour apache2.2 (par défaut sur raspberry), je n'ai pas testé sur 2.4 (me semble qu'il y a une ou deux modifs)

Dernière modification par voxdemonix (Le 26/04/2015, à 15:06)

Samaf · Le 26/04/2015, à 16:07

J'ai tout activé mais justement il y a un petit problème, regarde:
http://176.31.191.205

voxdemonix · Le 26/04/2015, à 16:24

Samaf a écrit :

J'ai tout activé mais justement il y a un petit problème, regarde:
http://176.31.191.205

Ton lien semble fonctionner, en retour j'ai:

It works!

This is the default web page for this server.

The web server software is running but no content has been added, yet.

(ce retour provient du fichier /var/www/index.html )
Il ne te reste plus qu'a ajouter tes wordpress

Dernière modification par voxdemonix (Le 26/04/2015, à 16:31)

Samaf · Le 26/04/2015, à 16:30

Ouai mais justement quand moi je vais dessus, ça me dit ceci:

Votre connexion n'est pas privée
Il se peut que des pirates soient en train d'essayer de dérober vos informations sur le site 176.31.191.205 (par exemple, des mots de passe, des messages ou des informations sur vos cartes de paiement). NET::ERR_CERT_AUTHORITY_INVALID

Dernière modification par Samaf (Le 26/04/2015, à 16:31)

voxdemonix · Le 26/04/2015, à 16:34

pas privée?

Avec quel navigateur?
Si tu as un message d'alerte te disant que le site n'est pas vérifié (trust) c'est car ton certificat SSL est auto-signé. Ce message n'est indiqué que lors de la première visite (si l'utilisateur accepte le certificat) et a chaque visite via Tor Bundle (pas de sauvegarde de certificat)
Tu peux régler ce problème en faisant signer ton certificat par une autoritéé de validation se qui est désagréable/contraignant et payant ou en harcelant Mozzila et Google pour qu'ils suppriment cette politique (j'ai opté pour cette seconde méthode mdr).

Edit: ouai a mon avis c'est bien l'alerte de "sécurité" du certificat ssl qui est auto signé

explication venant de Mozzila: https://support.mozilla.org/fr/kb/resou … t-inconnue

Dernière modification par voxdemonix (Le 26/04/2015, à 16:39)

Samaf · Le 26/04/2015, à 16:39

Que ce sois sur google chrome ou internet explorer c'est pareil.
C'est justement ce problème que je ne voulais pas avoir car les gens vont se dire que le site est suspect alors que pas du tout.
Qu'elle est la procédure pour faire signer le certificat par une autoritée de validation ?

voxdemonix · Le 26/04/2015, à 16:41

Le net te renseignera mieux que moi a ce sujet (je suis un adepte des auto signé ^^)
ce site explique deux trois type de validation : https://www.ssl247.fr/certificats-ssl/validation

Samaf · Le 26/04/2015, à 16:45

Merci beaucoup pour tous les renseignements.
J'aurais encore une petite question, penses-tu que je dois éviter la connexion ssh de l'utilisateur root ?
Si oui, comment je peux faire pour qu'un autre utilisateur puisse modifier les fichiers de configuration, accéder au fichier de linux, mettre à jours le système etc ?

Ensuite une deuxième question, comment je peux rattacher un nom de domaine .net (chez ovh) et un nom de domaine .fr.nf (azote) sachant que les deux sites auront par exemple ce chemin
Pour le .net: /var/www/net
Pour le fr.nf: /var/www/fr

Dernière modification par Samaf (Le 26/04/2015, à 16:47)

voxdemonix · Le 26/04/2015, à 16:54

Samaf a écrit :

Merci beaucoup pour tous les renseignements.

No problem

Samaf a écrit :

J'aurais encore une petite question, penses-tu que je dois éviter la connexion ssh de l'utilisateur root ?
Si oui, comment je peux faire pour qu'un autre utilisateur puisse modifier les fichiers de configuration, accéder au fichier de linux, mettre à jours le système etc ?

Enfaite, ssh te propose de désactiver la connexion sous le login root, mais rien ne t'empêche, une fois loggé avec ton utilisateur de passer en root via "sudo -i" ou de lancer un software en mode admin (par exemple "sudo reboot"). Il faut bien entendu que ton utilisateur face partie du groupe root pour bénéficier de ses avantages (mais c'est le cas par défaut sur les ubuntu-like pour l'utilisateur créé lors de l'installation)

Samaf a écrit :

Ensuite une deuxième question, comment je peux rattacher un nom de domaine .net (chez ovh) et un nom de domaine .fr.nf (azote) sachant que les deux sites auront par exemple ce chemin
Pour le .net: /var/www/net
Pour le fr.nf: /var/www/fr

Tu peux utiliser deux host (un qui renvoit vers /var/www/net et un qui renvoit vers /var/www/fr) ou peut-être que chez tes fournisseurs de nom de domaines tu peux directement entrer l'URI correspondant a chacun de tes choix (genre faire pointer .net vers http://176.31.191.205/net au lieu de http://176.31.191.205/)

Dernière modification par voxdemonix (Le 26/04/2015, à 17:00)

rico542 · Le 26/04/2015, à 18:15

Yep!
Je sais que mes liens n'étaient pas des guides idéaux (avant le café c'est dur)
Et quand je dis LAMP je ne pense aux composantes, en fait j'utilise toujours cette dénomination... à l'ancienne quoi... http://doc.ubuntu-fr.org/lamp
Mais il est certain qu'une installation propre c'est composant par composant.
Pour pousser la sécurité il faut souvent pouvoir adapter ton code, difficile à faire en adoptant un cms "clefs en main".
Dans tous les cas chacune de tes composantes doit avoir le même niveau de sécurité (la porte blindée sur un mur en placo c'est bidon )

Je te remets quelques liens :
Apache
http://geekflare.com/apache-web-server- … -security/
http://www.tecmint.com/apache-security-tips/

MySQL
http://www.greensql.com/content/mysql-s … mysql-tips
https://www.digitalocean.com/community/ … -linux-vps

PhP
http://php.net/manual/fr/security.php
http://www.cyberciti.biz/tips/php-secur … orial.html

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 25/04/2015, à 21:57

Sécuriser Apache, mysql, serveur ftp

#2 Le 26/04/2015, à 07:51

Re : Sécuriser Apache, mysql, serveur ftp

#3 Le 26/04/2015, à 12:00

Re : Sécuriser Apache, mysql, serveur ftp

#4 Le 26/04/2015, à 12:43

Re : Sécuriser Apache, mysql, serveur ftp

#5 Le 26/04/2015, à 14:01

Re : Sécuriser Apache, mysql, serveur ftp

#6 Le 26/04/2015, à 14:26

Re : Sécuriser Apache, mysql, serveur ftp

#7 Le 26/04/2015, à 14:45

Re : Sécuriser Apache, mysql, serveur ftp

#8 Le 26/04/2015, à 14:59

Re : Sécuriser Apache, mysql, serveur ftp

#9 Le 26/04/2015, à 16:07

Re : Sécuriser Apache, mysql, serveur ftp

#10 Le 26/04/2015, à 16:24

Re : Sécuriser Apache, mysql, serveur ftp

#11 Le 26/04/2015, à 16:30

Re : Sécuriser Apache, mysql, serveur ftp

#12 Le 26/04/2015, à 16:34

Re : Sécuriser Apache, mysql, serveur ftp

#13 Le 26/04/2015, à 16:39

Re : Sécuriser Apache, mysql, serveur ftp

#14 Le 26/04/2015, à 16:41

Re : Sécuriser Apache, mysql, serveur ftp

#15 Le 26/04/2015, à 16:45

Re : Sécuriser Apache, mysql, serveur ftp

#16 Le 26/04/2015, à 16:54

Re : Sécuriser Apache, mysql, serveur ftp

#17 Le 26/04/2015, à 18:15

Re : Sécuriser Apache, mysql, serveur ftp

Pied de page des forums