« Securite apache php » : différence entre les versions
| (25 versions intermédiaires par 2 utilisateurs non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
{{Ebauche}} | |||
== Sécurité Ubuntu == | |||
http://www.itsecurity.com/features/ubuntu-secure-install-resource/ | |||
http://www.howtoforge.com/intrusion-detection-with-snort-mysql-apache2-on-ubuntu-7.10 | |||
== Bloquer des gens qui tentent ... == | |||
* http://doc.ubuntu-fr.org/denyhosts (marche surtout pour les tentatives ssh, telnet, pop, etc.) | |||
== Logs apache == | == Logs apache == | ||
* http://www.fail2ban.org/wiki/index.php/Main_Page (bien pour les spiders web méchants) | |||
== Processus curieux == | == Processus curieux == | ||
| Ligne 10 : | Ligne 19 : | ||
== Ports ouverts == | == Ports ouverts == | ||
== Audit code PHP == | |||
* http://www.justanotherhacker.com/projects/graudit.html Graudit]. Simple script de ligne de commande cherchant des failles de sécurité de votre code source (avec des regexps). | |||
== Intrusion Detection System == | == Intrusion Detection System == | ||
| Ligne 15 : | Ligne 28 : | ||
Samhain [http://www.la-samhna.de/samhain/ (homepage)] | Samhain [http://www.la-samhna.de/samhain/ (homepage)] | ||
Aide [http://sourceforge.net/projects/aide (homepage)] | Aide [http://sourceforge.net/projects/aide (homepage)] | ||
Snort [http://www.snort.org (homepage)] | |||
Installation de Snort | |||
[http://ubuntuforums.org/showthread.php?t=145641 Très bon tutoriel] et ajouter [http://www.snort.org/archive-5-1756.html cette règle]. | |||
[http://ubuntuforums.org/showthread.php?t=483488 Un autre tutoriel bien] | |||
Edit: plus besoin de cela si on fait un dpkg-reconfigure Utilisation de ce [http://vrt-sourcefire.blogspot.com/2008/09/snort-startup-script-for-ubuntu.html startup script] et modification de [http://www.mcabee.org/lists/snort-users/Jul-08/msg00020.html snort.conf] | |||
Installer les paquets snort-mysql snort-doc snort-rules-default (et si d'autres manquent) puis sudo dpkg-reconfigure snort-mysql | |||
Configuration de Base | |||
[http://openmaniak.com/fr/snort_tutorial_base.php pour quelques paramètres utiles] | |||
== Configuration Php == | == Configuration Php == | ||
safe_mode On | |||
safe_mode On | safe_mode_gid On | ||
safe_mode_gid On | safe_mod_exec_dir = /usr/local/safemode/ | ||
safe_mod_exec_dir = /usr/local/safemode/ | |||
Upload de fichiers.. par exemple pour la gallerie photo gallery.menalto.com | Upload de fichiers.. par exemple pour la gallerie photo gallery.menalto.com | ||
| Ligne 33 : | Ligne 54 : | ||
== Configuration Apache == | == Configuration Apache == | ||
C'est une bonne idée | C'est une bonne idée d'interdire la fonction phpinfo dans le php.ini | ||
disable_functions = phpinfo | |||
Bonne idée aussi d'interdire php dans les dossiers inscriptibles par apache. | |||
Faire cela dans les vhosts | |||
== php.ini == | == php.ini == | ||
| Ligne 47 : | Ligne 67 : | ||
Voir aussi: [http://www.linuxformat.co.uk/wiki/index.php/PHP_-_Secure_coding PHP - Secure coding] (LXF Wiki Area) | Voir aussi: [http://www.linuxformat.co.uk/wiki/index.php/PHP_-_Secure_coding PHP - Secure coding] (LXF Wiki Area) | ||
== Postfix == | == Configuration de Postfix == | ||
Faire un dpkg-reconfigure postfix, choisir Satellite et à la question "nom de courrier" enter machine.domaine.ch | |||
Ensuite ajouter les alias pour root et lancer les commande newaliases | |||
== Commandes utiles pour Postfix == | |||
Arreter le serveur | Arreter le serveur | ||
/etc/init.d/postfix stop | /etc/init.d/postfix stop | ||
Vérifier la queue | Vérifier la queue | ||
mailq | mailq | ||
Effacer | Effacer des messages ([http://www.postfix.org/faq.html#deleting doc sur site]) | ||
postsuper -d | Effacer toute la queue | ||
postsuper -d ALL | |||
Effacer un message | |||
postsuper -d id_du_message | |||
mails envoyés | mails envoyés | ||
/var/spool/mail | /var/spool/mail | ||
lire un mail de la queue | |||
postcat -q id_du_message | |||
Configurer les alias des mails de root | |||
== Console série == | |||
Suivre [https://help.ubuntu.com/community/SerialConsoleHowto la doc ubuntu] avec la vitesse 9600 (important!) | |||
== Portails == | |||
* Pour les Mediawiki, voir http://edutechwiki.unige.ch/en/Spam | |||
[[category: technologies web]] | |||
Dernière version du 13 septembre 2011 à 16:10
Cet article est une ébauche à compléter. Une ébauche est une entrée ayant un contenu (très) maigre et qui a donc besoin d'un auteur.
Sécurité Ubuntu
http://www.itsecurity.com/features/ubuntu-secure-install-resource/ http://www.howtoforge.com/intrusion-detection-with-snort-mysql-apache2-on-ubuntu-7.10
Bloquer des gens qui tentent ...
- http://doc.ubuntu-fr.org/denyhosts (marche surtout pour les tentatives ssh, telnet, pop, etc.)
Logs apache
- http://www.fail2ban.org/wiki/index.php/Main_Page (bien pour les spiders web méchants)
Processus curieux
Ports ouverts
Audit code PHP
- http://www.justanotherhacker.com/projects/graudit.html Graudit]. Simple script de ligne de commande cherchant des failles de sécurité de votre code source (avec des regexps).
Intrusion Detection System
C'est peut etre une bonne idée d'installer un logiciel de detection d'intrusion. Samhain (homepage) Aide (homepage) Snort (homepage)
Installation de Snort Très bon tutoriel et ajouter cette règle. Un autre tutoriel bien Edit: plus besoin de cela si on fait un dpkg-reconfigure Utilisation de ce startup script et modification de snort.conf
Installer les paquets snort-mysql snort-doc snort-rules-default (et si d'autres manquent) puis sudo dpkg-reconfigure snort-mysql
Configuration de Base
pour quelques paramètres utiles
Configuration Php
safe_mode On safe_mode_gid On safe_mod_exec_dir = /usr/local/safemode/
Upload de fichiers.. par exemple pour la gallerie photo gallery.menalto.com
- Dossier temporaire (d'upload) doit avoir le meme groupe que l'utilisateur qui a les fichiers php
- Permission du dossier temporaire: 2777
- Dans le dossier safe_mod_exec_dir mettre un lien vers les programmes necessaires
Configuration Apache
C'est une bonne idée d'interdire la fonction phpinfo dans le php.ini
disable_functions = phpinfo
Bonne idée aussi d'interdire php dans les dossiers inscriptibles par apache. Faire cela dans les vhosts
php.ini
A partir de php 5.2.0:
- allow_url_include = Off interdit tout les include, require externes (empeche pas mal de choses)
- Si on a une version plus vieille on peut utiliser allow_url_fopen = Off mais ca comprends toutes les url.. pas seulement les includes
Voir aussi: PHP - Secure coding (LXF Wiki Area)
Configuration de Postfix
Faire un dpkg-reconfigure postfix, choisir Satellite et à la question "nom de courrier" enter machine.domaine.ch Ensuite ajouter les alias pour root et lancer les commande newaliases
Commandes utiles pour Postfix
Arreter le serveur
/etc/init.d/postfix stop
Vérifier la queue
mailq
Effacer des messages (doc sur site) Effacer toute la queue
postsuper -d ALL
Effacer un message
postsuper -d id_du_message
mails envoyés
/var/spool/mail
lire un mail de la queue
postcat -q id_du_message
Configurer les alias des mails de root
Console série
Suivre la doc ubuntu avec la vitesse 9600 (important!)
Portails
- Pour les Mediawiki, voir http://edutechwiki.unige.ch/en/Spam