Sécurité serveur
Fermé
TheBigSchtroumpf
Messages postés
146
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
11 octobre 2013
-
29 juin 2009 à 00:10
0x0syscall Messages postés 85 Date d'inscription lundi 28 avril 2008 Statut Membre Dernière intervention 30 juin 2009 - 30 juin 2009 à 16:10
0x0syscall Messages postés 85 Date d'inscription lundi 28 avril 2008 Statut Membre Dernière intervention 30 juin 2009 - 30 juin 2009 à 16:10
6 réponses
0x0syscall
Messages postés
85
Date d'inscription
lundi 28 avril 2008
Statut
Membre
Dernière intervention
30 juin 2009
5
29 juin 2009 à 12:47
29 juin 2009 à 12:47
Salut,
Oui c'est dangereux car n'importes quel users ou applications pourra modifier tes pages.
Ce que je te conseil c'est d'utiliser le serveur ftp pure-ftpd qui est bien mieux que vsftpd.
Avec Pure-ftpd tu peux créer des users réels ou virtuels avec des droits spécifiques.
Donc ce que tu peux faire c'est de créer un users exemple: httpuser le chrooter dans /var/www et puis tu lui donne les même droits que tes pages web.
Comme ça quand tu te log seul cette utilisateur et root bien évidemment pourront modifier les pages.
Oui c'est dangereux car n'importes quel users ou applications pourra modifier tes pages.
Ce que je te conseil c'est d'utiliser le serveur ftp pure-ftpd qui est bien mieux que vsftpd.
Avec Pure-ftpd tu peux créer des users réels ou virtuels avec des droits spécifiques.
Donc ce que tu peux faire c'est de créer un users exemple: httpuser le chrooter dans /var/www et puis tu lui donne les même droits que tes pages web.
Comme ça quand tu te log seul cette utilisateur et root bien évidemment pourront modifier les pages.
TheBigSchtroumpf
Messages postés
146
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
11 octobre 2013
18
29 juin 2009 à 14:05
29 juin 2009 à 14:05
Salut,
merci pour ta réponse.
je vais suivre tes conseils.
je n'ai pas pigé ce que c'était que cette histoire de chrootage, mais j'ai vu des tutos en parler, je vais essayer de me renseigner.
sinon, ça ne posera pas de problème avec samba?
re merci!
merci pour ta réponse.
je vais suivre tes conseils.
je n'ai pas pigé ce que c'était que cette histoire de chrootage, mais j'ai vu des tutos en parler, je vais essayer de me renseigner.
sinon, ça ne posera pas de problème avec samba?
re merci!
0x0syscall
Messages postés
85
Date d'inscription
lundi 28 avril 2008
Statut
Membre
Dernière intervention
30 juin 2009
5
29 juin 2009 à 14:08
29 juin 2009 à 14:08
Le chroot c'est quand tu vas t'identifier via à un login donc ici "httpuser", tu seras directement envoyé dans le dossier /var/www/ (être envoyé dans un dossier s'appeler ce faire chrooter), et l'utilisateur logé ne pourra accéder qu'à ce dossier et ne pourra pas redescendre. Pour lui son début d'arborescence commence a /var/www/
c-moi
Messages postés
81
Date d'inscription
dimanche 1 août 2004
Statut
Membre
Dernière intervention
6 juillet 2011
10
29 juin 2009 à 15:12
29 juin 2009 à 15:12
Salut,
Plusieurs choses à redire :
Ton serveur est disponible via le net ? Derrière un routeur/firewall, ou en DMZ ? N'oublie pas de désactiver tout port depuis l'extérieur autre que celui utilisé par Apache. Pas de ftp/samba/ssh ouvert vers l'extérieur si tu n'en a pas l'utilité.
Ensuite, sans vouloir troller, vsftpd permet aussi de créer des utilisateurs virtuels consignés dans un répertoire. Personnellement, j'aurai tendance à utiliser un "sas" :
Un utilisateur a accès à ton serveur, mais pas /var/www/. Tu l'utilises pour transférer les fichiers à mettre à jour.
Pour faire la mise à jour, il te faut te connecter en administrateur (root ou sudo) et déplacer les fichier du "sas" vers /var/www/ et l'arborescence qui va bien. Ainsi seul l'administrateur système a le pouvoir de mettre à jour le site. Dans le cas où l'on a un serveur par site et peu d'utilisateurs (seulement toi en LAN), c'est ce qui me parait le plus sécurisé.
N'oublie pas que ftp est un protocole où le login et mot de passe transitent en clair : il suffit d'avoir accès à ton réseau pour connaître login/pass ftp et, si ce sont les mêmes qu'un utilisateur Linux, accéder à ton serveur. Cas typique d'un transfert ftp par wifi où là, même pas besoin d'écouter les fils, tous tes voisins ont accès au serveur. Oui, c'est déjà arrivé.
En espérant t'avoir éclairé.
c-moi
PS : si tu as un poste Windows, WinSCP et putty sont tes amis.
Plusieurs choses à redire :
Ton serveur est disponible via le net ? Derrière un routeur/firewall, ou en DMZ ? N'oublie pas de désactiver tout port depuis l'extérieur autre que celui utilisé par Apache. Pas de ftp/samba/ssh ouvert vers l'extérieur si tu n'en a pas l'utilité.
Ensuite, sans vouloir troller, vsftpd permet aussi de créer des utilisateurs virtuels consignés dans un répertoire. Personnellement, j'aurai tendance à utiliser un "sas" :
Un utilisateur a accès à ton serveur, mais pas /var/www/. Tu l'utilises pour transférer les fichiers à mettre à jour.
Pour faire la mise à jour, il te faut te connecter en administrateur (root ou sudo) et déplacer les fichier du "sas" vers /var/www/ et l'arborescence qui va bien. Ainsi seul l'administrateur système a le pouvoir de mettre à jour le site. Dans le cas où l'on a un serveur par site et peu d'utilisateurs (seulement toi en LAN), c'est ce qui me parait le plus sécurisé.
N'oublie pas que ftp est un protocole où le login et mot de passe transitent en clair : il suffit d'avoir accès à ton réseau pour connaître login/pass ftp et, si ce sont les mêmes qu'un utilisateur Linux, accéder à ton serveur. Cas typique d'un transfert ftp par wifi où là, même pas besoin d'écouter les fils, tous tes voisins ont accès au serveur. Oui, c'est déjà arrivé.
En espérant t'avoir éclairé.
c-moi
PS : si tu as un poste Windows, WinSCP et putty sont tes amis.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
TheBigSchtroumpf
Messages postés
146
Date d'inscription
lundi 23 février 2009
Statut
Membre
Dernière intervention
11 octobre 2013
18
29 juin 2009 à 20:54
29 juin 2009 à 20:54
Salut,
merci pour vos réponses!
oui mon serveur est sur le net, en DMZ.
je veux bien désactiver mes ports, mais j'en ai besoin (j'ai accès au serveur physiquement pour l'instant, mais ce ne sera plus le cas à terme).
je sais que ftp diffuse le mot de passe en claire, mais je ne connais pas d'autres méthodes? (d'ailleurs qui est le type qui à conçu un protocole ou le mot de passe est diffusé en claire sur le net, c'est vraiment con, non?)
l'idée du sas, c'est pas mal pour la sécurité, mais l'idée de ce serveur c'est aussi de pouvoir développer directement dessus (on développe à plusieurs, et comme ça on peut voir en temps réel l'avancement des autres, c'est vraiment pratique), et avec le sas, ça compliquerai pas mal la manœuvre.
re-merci.
je vais essayer de m'y mettre ce soir!
merci pour vos réponses!
oui mon serveur est sur le net, en DMZ.
je veux bien désactiver mes ports, mais j'en ai besoin (j'ai accès au serveur physiquement pour l'instant, mais ce ne sera plus le cas à terme).
je sais que ftp diffuse le mot de passe en claire, mais je ne connais pas d'autres méthodes? (d'ailleurs qui est le type qui à conçu un protocole ou le mot de passe est diffusé en claire sur le net, c'est vraiment con, non?)
l'idée du sas, c'est pas mal pour la sécurité, mais l'idée de ce serveur c'est aussi de pouvoir développer directement dessus (on développe à plusieurs, et comme ça on peut voir en temps réel l'avancement des autres, c'est vraiment pratique), et avec le sas, ça compliquerai pas mal la manœuvre.
re-merci.
je vais essayer de m'y mettre ce soir!
0x0syscall
Messages postés
85
Date d'inscription
lundi 28 avril 2008
Statut
Membre
Dernière intervention
30 juin 2009
5
30 juin 2009 à 16:10
30 juin 2009 à 16:10
Pour le service FTP regarde https://fr.wikipedia.org/wiki/FTPS
