« Securite apache php » : différence entre les versions

De EduTech Wiki
Aller à la navigation Aller à la recherche
Ligne 26 : Ligne 26 :
Configuration de Base
Configuration de Base
[http://openmaniak.com/fr/snort_tutorial_base.php pour quelques paramètres utiles]
[http://openmaniak.com/fr/snort_tutorial_base.php pour quelques paramètres utiles]
Todo: Lancer au démarrage


== Configuration Php ==
== Configuration Php ==

Version du 27 janvier 2009 à 19:41

  • ebauche (comment on mets ca comme mot clef? TODO)

Sécurité Ubuntu

http://www.itsecurity.com/features/ubuntu-secure-install-resource/ http://www.howtoforge.com/intrusion-detection-with-snort-mysql-apache2-on-ubuntu-7.10

Logs apache

Processus curieux

Ports ouverts

Intrusion Detection System

C'est peut etre une bonne idée d'installer un logiciel de detection d'intrusion. Samhain (homepage) Aide (homepage) Snort (homepage)

Installation de Snort Très bon tutoriel et ajouter cette règle. Un autre tutoriel bien Utilisation de ce startup script et modification de snort.conf

Configuration de Base pour quelques paramètres utiles

Todo: Lancer au démarrage

Configuration Php

safe_mode On
safe_mode_gid On
safe_mod_exec_dir = /usr/local/safemode/

Upload de fichiers.. par exemple pour la gallerie photo gallery.menalto.com

  • Dossier temporaire (d'upload) doit avoir le meme groupe que l'utilisateur qui a les fichiers php
  • Permission du dossier temporaire: 2777
  • Dans le dossier safe_mod_exec_dir mettre un lien vers les programmes necessaires

Configuration Apache

C'est une bonne idée d'interdire la fonction phpinfo dans le php.ini

disable_functions = phpinfo

php.ini

A partir de php 5.2.0:

  • allow_url_include = Off interdit tout les include, require externes (empeche pas mal de choses)
  • Si on a une version plus vieille on peut utiliser allow_url_fopen = Off mais ca comprends toutes les url.. pas seulement les includes

Voir aussi: PHP - Secure coding (LXF Wiki Area)

Configuration de Postfix

Faire un dpkg-reconfigure postfix, choisir Satellite et à la question "nom de courrier" enter machine.domaine.ch Ensuite ajouter les alias pour root et lancer les commande newaliases

Commandes utiles pour Postfix

Arreter le serveur

/etc/init.d/postfix stop

Vérifier la queue

mailq

Effacer des messages (doc sur site) Effacer toute la queue

postsuper -d ALL

Effacer un message

postsuper -d id_du_message

mails envoyés

/var/spool/mail

lire un mail de la queue

postcat -q id_du_message

Configurer les alias des mails de root

Console série

Suivre la doc ubuntu avec la vitesse 9600 (ça devrait être réglable dans le bios j'imagine)