Sécuriser et protéger son site web des attaques des pirates
mardi 2 juin 2015 à 10:46Katie, Shaarli and Kentaro 02/06/2015
Dans la même lignée que ma précédente publication (http://katie.ktdev.info/?4E6kNw), mais cette fois en mode prévention et bonnes pratiques, afin de mettre toutes les chances de son côté.
(Permalink)
Strak.ch | Actu et liens en vrac 02/06/2015
Pas mal de bons conseils et de bonnes pratiques dans ce tuto.
via katie.ktdev.info
(Permalink)
Les liens de Kevin Merigot 02/06/2015
Alors oui... Mais non.
Enfin, plus précisément : oui, ce qui est marqué dans cet article marche. Mais il y a plein d'erreurs, d'imprécisions, de trucs pas pratiques alors que d'autres moyens plus simples et tout aussi efficaces existent. Mais bon, ça marche hein, et il y a globalement de bons conseils. Voilà les 3 trucs sur lesquels j'ai tiqué :
Je passe sur le "qui sont les méchants pirates", il n'y a pas que la mafia, la mafia n'est pas que constituée d'élite, et les gouvernements aussi en veulent à vos PC, ainsi que certaines entreprises, et le secret industriel est aussi en ligne de mire, et pour cela ils ont besoin de la puissance de calcul que vous pouvez fournir. Enfin bref.
Mais par exemple, pour les droits des fichiers : UTILISEZ LES GROUPES ! Apache (ou tout autre serveur de contenu d'ailleurs) est exécuté par un utilisateur précis (httpd, apache ou www-data, ça dépend) et un groupe précis (les mêmes en général). Vous pouvez faire en sorte que vos fichiers vous appartiennent, avec les droits d'écriture, et qu'ils appartiennent au groupe d'Apache, avec uniquement les droits de lecture (et d'exécution si vous faites du CGI mais ça c'est une autre histoire). Et pour les autres, bah... aucun droit. Notez qu'avec ce système, vous pouvez faire tourner plusieurs services sur votre machine sans qu'un service corrompu ne puisse accéder aux données des autres services (inapplicable sur un mutualisé en général, ceci dit).
Pour le chiffrement des fichiers de config, oubliez la méthode "eval", elle n'empêche rien du tout (même pour un script kiddy, faut arrêter de les prendre pour les dernières des buses) et charge inutilement le serveur à chaque appel. En revanche, c'est un fichier à blinder : il faut qu'il soit impossible à joindre directement depuis l'extérieur et doit avoir des droits particuliers. Il doit aussi faire l'objet d'une surveillance accrue dans les logs (protip : il ne doit jamais figurer dans les logs d'accès, vous pouvez configurer un warning si jamais il apparaît dans les logs).
Par contre, les quelques snippets à la fin, je prends :p
(via shaarli.fr)
(Permalink)
Dans la même lignée que ma précédente publication (http://katie.ktdev.info/?4E6kNw), mais cette fois en mode prévention et bonnes pratiques, afin de mettre toutes les chances de son côté.
(Permalink)
Strak.ch | Actu et liens en vrac 02/06/2015
Pas mal de bons conseils et de bonnes pratiques dans ce tuto.
via katie.ktdev.info
(Permalink)
Les liens de Kevin Merigot 02/06/2015
Alors oui... Mais non.
Enfin, plus précisément : oui, ce qui est marqué dans cet article marche. Mais il y a plein d'erreurs, d'imprécisions, de trucs pas pratiques alors que d'autres moyens plus simples et tout aussi efficaces existent. Mais bon, ça marche hein, et il y a globalement de bons conseils. Voilà les 3 trucs sur lesquels j'ai tiqué :
Je passe sur le "qui sont les méchants pirates", il n'y a pas que la mafia, la mafia n'est pas que constituée d'élite, et les gouvernements aussi en veulent à vos PC, ainsi que certaines entreprises, et le secret industriel est aussi en ligne de mire, et pour cela ils ont besoin de la puissance de calcul que vous pouvez fournir. Enfin bref.
Mais par exemple, pour les droits des fichiers : UTILISEZ LES GROUPES ! Apache (ou tout autre serveur de contenu d'ailleurs) est exécuté par un utilisateur précis (httpd, apache ou www-data, ça dépend) et un groupe précis (les mêmes en général). Vous pouvez faire en sorte que vos fichiers vous appartiennent, avec les droits d'écriture, et qu'ils appartiennent au groupe d'Apache, avec uniquement les droits de lecture (et d'exécution si vous faites du CGI mais ça c'est une autre histoire). Et pour les autres, bah... aucun droit. Notez qu'avec ce système, vous pouvez faire tourner plusieurs services sur votre machine sans qu'un service corrompu ne puisse accéder aux données des autres services (inapplicable sur un mutualisé en général, ceci dit).
Pour le chiffrement des fichiers de config, oubliez la méthode "eval", elle n'empêche rien du tout (même pour un script kiddy, faut arrêter de les prendre pour les dernières des buses) et charge inutilement le serveur à chaque appel. En revanche, c'est un fichier à blinder : il faut qu'il soit impossible à joindre directement depuis l'extérieur et doit avoir des droits particuliers. Il doit aussi faire l'objet d'une surveillance accrue dans les logs (protip : il ne doit jamais figurer dans les logs d'accès, vous pouvez configurer un warning si jamais il apparaît dans les logs).
Par contre, les quelques snippets à la fin, je prends :p
(via shaarli.fr)
(Permalink)