Lut,
Au vu de toute les contributions je me permets de préciser ma pensé/façon de voir…
La sécurité absolue n’existe pas!! Partant de là la vrai sécurité est un curseur à placer entre protection du serveur/service et fonctionnalité…
Quand je vois ça je suis presque d’accord dans l’absolue… c’est cool technologiquement parlant… mais après quoi… c’est complexe à mettre en place / a maintenir / a mettre en oeuvre / a debugger…
Et surtout en fonction de l’utilisation du besoin, j’ai l’impression que c’est quand même prendre un lance roquette pour tuer une mouche…
Faut pas oublier que dans sécurité il y a aussi disponibilité… si je mets 3 jours à debugger un service qui ne fonctionne pas au lieu d '1 bah j’ai raté quelque chose dans la mise en place…
C’est sur ça fonctionne, mais un peu de pragmatisme ne fait pas de mal selon moi…
Et pour prendre l’exemple des ports, un portsentry peut se justifier selon la criticité mais mes serveurs sont protégés par un FW et fail2ban, je regarde les logs tous les matins, je suis les grosses failles de sécu… et résultat des courses mon serveur n’est à mon sens pas plus en danger qu’un autre.
Que serait le monde sans les Well Known ports… on ferait quoi si chaque site Web utilisait sont propre ports…
A l’inverse j’ai récemment fait un audit de sécu pour une boite qui avais tout fermé, changer les ports par défauts et laisser uniquement ouvert un acces HTTPS avec authentification… bah j’ai quand même trouver un compte valide, je suis rentré etc…
Bref tous ça pour revenir à mon histoire de curseur, la meilleur archi technique ne vaut rien si elle ne survit pas à l’épreuve de l’exploitation.
Mais bon au dela de ça si c’est juste pour toi pas nécessairement critique et que tu veux tester, bah fait toi plaisir ça ne peut pas faire de mal. Mais si c’est pour du pro je dirais Keep It Simple…( attention simple, pas simpliste ^^).
Pour l’histoire du serveur FTP, bah prend celui avec lequel tu te sens le mieux, dans les fait s’il est toujours maintenue cela ne changera rien, si il y avait un produit ultime on serait au courant
Pour le sudo je suis d’accord, si tu n’en n’as pas besoin, oublie. Mais si certain utilisateur doivent pouvoir effectuer des taches en root ou autre alors pour moi un sudo bien configuré est la solution…
Mais du coup avec mon discours je me pose une question, sur vos serveurs vous faite systématiquement les mises à jours?
On est d’accord en terme de sécu c’est ce qui est conseillé, mais en vrai tout n’est pas si simple.
Dans un cadre pro faire une mise à jour c’est prendre un risque d’instabilité d’interaction non souhaité etc…
evidement c’est rare, mais si on considère que la disponibilité est une des composante de la sécu, alors ce risque est à prendre en considération.
Désolé pour le post fleuve
++