Sécuriser DEBIAN contre les Failles PHP

Support Debian
#1

Bonjour tout le monde,

Je dois absolument sécuriser mon serveur contre des failles PHP. Je dispose en effet d’un serveur dédié sous DEBIAN SARGE 3.1, et j’y héberge quelques quarantaines de sites web pour la plupart, des sites de débutants. Le problème, c’est que ces sites utilisent des scripts à très faible sécurité voir quasi-nulle, en particulier sur les pseudo-frames, donc je me rends compte tout les jours que des scripts Shell sont uploadé sur mon serveur via ces scripts PHP de pseudo-frames.

Une solution serait de sécuriser ces scripts, mais bien évidemment, c’est impossible à faire vu le nombre de sites sur mon serveur.

Alors je cherche une solution radicale pour sécuriser le serveur contre ce type de failles pour qu’il puisse héberger sans soucis des sites amateurs dépourvu de scripts sécurisés.

Je cherche de la documentation sur ce sujet, des idées, des liens, des éclaircissements.

Merci à vous tous

#2

Un chroot?
Un restriction dans les droits lors d’upload diverse de données (impossibilité d’executer)
Attribué les droits à www sans shell
et tu en as d’autres.

#3

Bien, mais comment faire ça ?

I’m NewBie :smiley:

#4

Commence par mettre le shell de www-data à /bin/false dans /etc/passwd ou mieux tu te fabriques un faux shell qui ne fait que lister les commandes dans un log et renvoit toujours 0. Tu mets également l’ensemble des sites dans une partition monté avec l’option noexec. Ça commence à compliquer singulièrement la tache à ces personnes. Ensuite, tu peux prévoir un quota ou contenir les bases SQL. Tu bétonnes un parefeu. Avec ça ce sera bon. Mais on peut encore compléter. En tout cas surveille ta machine.

#5

Salut,

Je suis entrain de désactiver quelques fonctions de PHP et aussi de faire en sorte que chaque site dispose de son propre PHP.INI. Mais les astuces dont tu me parle, je ne sais pas les faire, je ne suis que débutant dans l’admin système

#6

@quicksand : regarde la structure de /etc/passwd comprend la et ensuite tu sauras ce qu’il faut faire par toi même c’est vraiment simple ça tu n’as qu’a l’ouvrir avec ton éditeur de texte préféré

[quote=“fran.b”]ou mieux tu te fabriques un faux shell qui ne fait que lister les commandes dans un log et renvoit toujours 0.[/quote]Bon là c’est un peu plus subtile mais c’est toujours simple c’est le même principe qu’au dessus[quote=“fran.b”] Tu mets également l’ensemble des sites dans une partition monté avec l’option noexec.[/quote]Tous tes sites je supposes qu’ils sont stockés dans /var/www tu peux configurer apache pour qu’il les stockes ailleurs et tu les mets dans une partition que tu a monté en noexec comme te l’indique fran.b pour plus d’infos sur comment monté une partition en noexec man mount[quote=“fran.b”] Ça commence à compliquer singulièrement la tache à ces personnes. Ensuite, tu peux prévoir un quota ou contenir les bases SQL. [/quote]La fait une recherche sur les quota il y a plein de tutos assez simple à lire[quote=“fran.b”]Tu bétonnes un parefeu. Avec ça ce sera bon. Mais on peut encore compléter. En tout cas surveille ta machine.[/quote]Pour le parefeu il y a un tutos sur ashgenesis.debian-fr.net et dans le forum trucs et astuces (c’est le même) étudie le et après si tu as d’autres questions n’hésite pas à nous les poser :smiley: