• [^] # Re: Changement d'utilisateur

    Posté par (site web personnel) . En réponse au message Application sensible. Évalué à 2.

    En fait n'importe quel serveur Apache/Php, permet d'uploader son code et de le compiler. Surtout quand ils sont bien développer friendly :) Mais c'est un autre débat.

    Pour sécuriser un serveur, il y a de nombreux outils. Le chroot en est un, mais il ne faut pas croire que c'est magique.

    Déjà dans php, il y a un certain nombre de mécanismes de sécurité intéressants :
    - openbasedir
    - safe-mode
    - limitation des ressources (memory_limit, max_execution_time)...
    - interdiction de certaines fonctions (fsockopen pfsockopen..)

    Pour apache :
    - il faut des Timeout courts
    - il faut qu'il soit exécuté par un utilisateur sans shell.
    - il faut installer et paramétrer mod_security.

    Au niveau réseau.
    - Il faut tout interdire en entrée et en sortie. Puis juste autoriser le minimum pour que son appli fonctionne.
    - Il faut détecter les paquets pourris et éventuellement bannir les IP en cause (quoique).
    - Il faut surtout utiliser des ports atypiques pour les services annexes (ssh entre autre)

    Au niveau système de fichier :
    - il faut que / et /usr soient en lecture seule.
    - il faut que tous les utilisateurs aient des quotas sur les partitions sur lesquelles ils sont susceptibles d'écrire.
    - il faut que toutes les partitions (/tmp /var /home) ou rien ne doit être executé soient montées en noexec

    Au niveau des utilisateurs:
    - il ne faut pas que les utilisateurs qui n'en ont pas besoin aient un shell valide et que les autres aient un shell le plus limité possible.

    - il faut définir (si le système le permet ) des limites en ressources basses pour chaque utilisateurs (man limits).

    Au niveau de L'OS,
    Il faut interdire :
    - les changements de règles de firewalling
    - les passages de root vers noyau (chargement de modules ...)

    Puis il faut surveiller. Traquer les process au comportement anormal, débusquer les finteux, les spammeurs, les spammés. Bref administrer la bête. ..