Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 21-05-2011 15:41:58

curieux42
Membre
Inscription : 21-05-2011

Serveur WEB

Bonjour,
En premier lieux je m'excuse si le post n'est pas au bon endroit, je débarque ici et c'est celui qui m'a semblé le plus adéquat.
Pour un projet donné, je dois mettre en place une architecture WEB qui se doit être robustes, sécurisées et scalable (je trouve pas le terme français désolé).


Il me faut:

Un OS => Debian 6
Un serveur SSH => Fourni par défaut dans debian 6.
Un serveur Web => lighttpd avec php5 cgi
Un serveur FTP => choix à faire. (proftpd?)
Un SGBD => MySQL (sur un/des serveurs physiques différents).
Une web interfaces pour gérer le/les serveurs (distant) MySQL => PhpMyAdmin


Les configurations que je compte faire (niveau sécurité):

### Pour debian:

- reconfigurer les locales (toutes informations bienvenues pour pas avoir de soucis d'accent en console ni en ssh).

- installer et configurer zsh et un éditeur de texte correcte (c'est peut etre le seul truc que je suis certains de gerer sur toute la procédure).

- utiliser iptables pour refuser tout le traffic excepté sur 21, 22 et 80
(pour les serveurs mysqls, je compte tout bloquer pour tout le monde sauf le port 3306 uniquement pour l'ip du serveur web et le ssh accessible de partout).

- installer et configurer fail2ban (que je ne connais pas, donc toutes info est la bienvenue).


# # # Pour SSH:

Protocol 2
ServerKeyBits 1024
PermitRootLogin no
AllowUsers dog #typo de god, seul user sur la machine
PermitEmptyPasswords no
# J'aimerai aussi limité le nombre de connexion par ip et le nombre de connexion total.
# Si vous voyez autre chose, dite le smile


Serveur FTP:

j'ai besoins de 3 types d'utilisateurs, les développeurs qui ont accès à la racine du serveur web et à tout ce qu'il y a en dessous. les graphistes qui on accès à deux dossiers spécifiques dans l'application web (qui ne sont pas dans le meme tree) et un compte guest_graphiste qui doit juste uploader des (très grosses tongue) images sur un repertoire spécifique. En dehors de ça, ces pseudo users ne doivent avoir accès à RIEN. (pas d'accès ssh, aucun accès meme en lecture, nul pars).
Que me conseillez vous et avec quel configuration?


Question:

Que pensez vous de l'archi ainsi faites? j'aimerai chrooté chaque deamon afin de réduire au maximum les risques et débordement, comment faire? voyez-vous des améliorations? je prends toutes informations aussi parano semble-t-elle, toutes la doc, si possible francophone.

je vous remercie de m'avoir lu jusqu'ici. une fois que j'aurais bien assimilé ce que j'ai à faire, je réaliserai un mémo pour moi, je ne manquerai pas d'en faire profiter ceux qui veule.
Bonne journée.

Hors ligne

#2 22-05-2011 13:16:57

curieux42
Membre
Inscription : 21-05-2011

Re : Serveur WEB

un petit up :$

Hors ligne

#3 22-05-2011 13:26:37

Invité-5
Banni(e)

Re : Serveur WEB

curieux42 a écrit :

un petit up :$


Les personnes ayant souscrit sont bénévoles : ce n'est pas parce qu'une question est posée, qu'une réponse DOIT être donnée ; donc, si votre question ne reçoit pas de réponse immédiate, attendez un peu (24 à 48H semble un délai raisonnable) avant de reposter… Il se peut aussi que votre question ne soit pas bien formulée (auquel cas ceux qui pourraient vous aider n'ont certainement rien compris à votre problème) ou que - cela arrive - personne n'ait de réponse à vous apporter !

EDIT : Cela dit => Tes questions sur le forum sont les bienvenues et j'y répondrai dans la mesure de mes possibilités ainsi que toute "l'équipe" je pense !

Dernière modification par Invité-5 (22-05-2011 19:03:15)

#4 22-05-2011 20:10:35

stopher
Membre
Lieu : lille
Distrib. : squeeze
Noyau : 2.6.32
(G)UI : Gnome
Inscription : 03-10-2008
Site Web

Re : Serveur WEB

Salut ,

- utiliser iptables pour refuser tout le traffic excepté sur 21, 22 et 80
(pour les serveurs mysqls, je compte tout bloquer pour tout le monde sauf le port 3306 uniquement pour l'ip du serveur web et le ssh accessible de partout).


Pour les iptables, tu parts dans le bon sens , c'est à dire , tout bloquer et ouvrir en fonction des besoins .

- installer et configurer fail2ban (que je ne connais pas, donc toutes info est la bienvenue).


Une barrière supplémentaire, certains dirons que c'est "too late" dans le sens ou fail2ban se base sur les logs, mais c'est tout de même une bonne chose .
J'ai écrit un article succinct sur le sujet lindev.fr ( qui date un peu ) mais toujours bon à prendre.

# # # Pour SSH:

Protocol 2
ServerKeyBits 1024
PermitRootLogin no
AllowUsers dog #typo de god, seul user sur la machine
PermitEmptyPasswords no
# J'aimerai aussi limité le nombre de connexion par ip et le nombre de connexion total.
# Si vous voyez autre chose, dite le smile


Pour moi il est important aussi de changer de port par défaut afi d'éviter tout les scan et tentatives de "lamer" en brut force ( qui normalement seront de toute manière bloqués par fail2ban wink ) .
Ensuite , je ne jure que par l’authentification par certificats , ainsi rien ne passe en clair pendant l’authentification .  ( j'ai aussi écrit un petit article à ce sujet sécuriser SSH ).


Serveur FTP:

j'ai besoins de 3 types d'utilisateurs, les développeurs qui ont accès à la racine du serveur web et à tout ce qu'il y a en dessous. les graphistes qui on accès à deux dossiers spécifiques dans l'application web (qui ne sont pas dans le meme tree) et un compte guest_graphiste qui doit juste uploader des (très grosses tongue) images sur un repertoire spécifique. En dehors de ça, ces pseudo users ne doivent avoir accès à RIEN. (pas d'accès ssh, aucun accès meme en lecture, nul pars).
Que me conseillez vous et avec quel configuration?


Pour le FTP , ce sont les habitudes du chacun qui priment, perso , j'aime utiliser vsftpd et les utilisateur Virtuels gérés par une base de données . ( ce qui simplifie la gestion des comptes et leurs accès  ).

Voilà pour es conseils , ensuite il ne faut pas tout miser sur ton système , mais il faut aussi configurer correctement tes services qui tournent dessus . ( Apache / php / mysql / ssh et Vsftpd )



PS : Évite les "Up" wink surtout aussi rapidement et en weekend smile

Bonne soirée ,

Ch.

Hors ligne

#5 23-05-2011 00:01:15

curieux42
Membre
Inscription : 21-05-2011

Re : Serveur WEB

Bonsoir,
Merci pour les informations et désolé pour le up rapide

Je vais lire les articles donnés.
Au niveau de la debian de base, il y a des choses à configuré en dehors d'iptables?
J'ai bien consciences que chaque services doit aussi être configuré convenablement, j'essaye de commencer par le début. (comme dit, j'ai quelques notion mais loin d'être convenable).

L'environnement de prod ne me permet pas de mettre en place tout ce que je souhaite. pas de certificat pour le ssh ni de ftps (car le certificat serait auto signé et ça ne plait pas). je fais de mon mieux avec les connaissances que j'ai et le champ d'action qu'on me donne.

Hors ligne

#6 23-05-2011 00:22:02

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Serveur WEB

curieux42 a écrit :

Bonsoir,
Merci pour les informations et désolé pour le up rapide

Je vais lire les articles donnés.
Au niveau de la debian de base, il y a des choses à configuré en dehors d'iptables?
J'ai bien consciences que chaque services doit aussi être configuré convenablement, j'essaye de commencer par le début. (comme dit, j'ai quelques notion mais loin d'être convenable).

L'environnement de prod ne me permet pas de mettre en place tout ce que je souhaite. pas de certificat pour le ssh ni de ftps (car le certificat serait auto signé et ça ne plait pas). je fais de mon mieux avec les connaissances que j'ai et le champ d'action qu'on me donne.


Sur debian, par défaut iptables laisse tout ouvert smile


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#7 23-05-2011 00:37:14

curieux42
Membre
Inscription : 21-05-2011

Re : Serveur WEB

J'avais bien saisi ce principe que j'ai corrigé.
Une fois que j'ai installé et configuré mon zsh, que mes règles iptables sont en places, que les locales sont reconfigurées et que le système est up to date je peux passer à configurer les services? si oui, ça fais un point de fait, je continue avec ssh je suppose. (je vais terminer mes lectures).

Hors ligne

Pied de page des forums