SECURITE : serveur attaqué

piratebab · Février 21, 2016, 8:46pm

C’est assez contraignant à mettre en place, et à mon avis, ça ne se justifie que pour protéger des données vraiment très sensibles.

chrystellewc · Février 21, 2016, 8:46pm

Oh, je pense que trop, les gens se sentent un peu confus. . .

Clochette · Février 21, 2016, 8:46pm

C’est au contraire assez simple à mettre ne place et permet de fermer, ouvrir un port ou effectuer d’autre chose tel que lancer un script.
Maintenant pour l’histoire du rsync … il est évident que si deux serveurs discutent en SSH entre eux, si l’un tombe l’autre pourrait effectivement avoir des soucis.

Chose contraignante à entretenir et à administrer/monitorer mais assez facile à mettre ne place pour tester :

serveur 1 la cible du rsync
serveur 2 origine du rsync

Le but est de monter le répertoire du serveur 2 sur le serveur 1 via un NFS.
Sur ce répertoire monté vous obtiendrez régulièrement les nouveau commit, restera à mettre une tâche de rsync depuis ce répertoire vers le répertoire cible du serveur 1.

L’avantage vous pouvait restreindre l’utilisation de NFS à la seule IP du serveur, aucune clé SSH ne risque de compromettre l’autre serveur.
Ne pas oublier de faire tourner de l’anti rootkit régulièrement et d’auditer/maintenir à jour très régulièrement les CMS et applicatifs hébergé sur vos serveurs.

Vous pouvez renforcer tranquillement la sécurité de vos serveurs tant que vous le voudrez vous ne serez jamais à l’abri d’un petit malin, un peut plus malin que vous

Déplacer un port n’est pas une fin en soit, cela coupe sans doute l’herbe sous le pied des scripts kiddies mais pas des bots les plus évolués ( qui sont légions malgré tout).
Vous avez des outils tel que portsentry qui sont rudement efficace pour virer de vos logs un maximum d’IP, fail2ban est un bon outil aussi lorsqu’il est bien paramétré.
Le cloisonnement des services directement ouvert au net est aussi un gage de sécurité.

Mais tous ceci ne fera que freiner un hacker compétent et motivé, il y aura tjs une faille possible car l’informatique est développé par un être faillible

Mimoza · Février 21, 2016, 8:46pm

Si, regarde la doc officielle
dslab.lzu.edu.cn:8080/members/wa … ing02.html

Ça c’est inévitable malheureusement, mais avec un bof IPtable bien restrictif ça ne pose pas de soucis.