Sécurité maximale

Bonjour,

D'ici quelques jours je vais lancer mon premier site sur serveur dédié.

Aussi, avant de faire connaître l'url de ce dernier, j'aimerais effectuer des tests de sécurité.

J'ai bien évidemment vu énormément de sites proposant des tests online, mais je ne trouve pas les résultats satisfaisants.

Cconnaîtriez-vous un/des Whitehat pouvant m'aider à sécuriser mon serveur svp ?

Booooool stp, je sais que tu es le king des serveurs, peux-tu me rendre ce service stp ;)

Merci mais... pas le temps ;)

J'ai cru comprendre dans l'une des annonces d'OVH qu'ils envisagent de louer des serveurs "sans accès root" : en d'autres termes, c'est du mutualisé pour la facilité d'utilisation et du dédié en performances. Ca peut peut-être t'intéresser ?

Autrement, si tu n'as pas encore commandé de serveur (je sais, je ne réagis pas très vite...) envisage de prendre une solution de type Plesk (ou CPanel, ou DirectAdmin, peu importe, même si ma préférence va à Plesk) pour limiter la maintenance en ligne de commande, très difficile d'accès aux administrateurs débutants.

Comme le dit Bool, j'évite ce genre de plate-forme clé en main pour 2 raisons :
- Je préfère connaître chaque composant installé, donc je les installe moi-même (même si galère )
- Niveau sécurité, ton serveur est scanné par des bots et dès qu'une faille est trouvée, tu peux dire byebye à ton serveur.

Le 2ème point, est valable également pour les forums de type PhpBB et compagnie.

A ma connaissance, Apache ne s'exécute pas via l'utilisateur "root" avec Plesk, ni les autres d'ailleurs, mais en "nobody" ou autres "www-data". Cependant, le risque est effectivement de voir le piratage d'un site se propager sur l'ensemble des sites. Mais ce n'est nullement une obligation, car des règles de groupes peuvent en limiter les conséquences. Quoi qu'il en soit, des sauvegardes en lecture seule sont de toutes façons nécessaires sur un serveur, car personne n'est à l'abri d'une erreur ou d'un piratage.

Maintenant, entre un débutant qui se cantonne à Plesk (ou pannels concurrents) et à ses fonctions de base ou étendues, et un débutant qui se lance dans une Debian nue, je pense que Plesk (ou pannels concurrents) sont très largement meilleurs d'un point de vue de la sécurité. Certes, cela ne fait pas assez "geek" pour beaucoup, mais cela reste d'excellentes plateformes pour commencer en administration de serveur. Cela n'empêche nullement l'utilisation de fonctionnalités très avancées (j'avais déjà installé -- certes avec beaucoup de mal -- eAccelerator sur un serveur géré via Plesk).

J'avoue ne pas voir de différence entre un panneau de configuration accédé en SSL et une console SSH, en matière de sécurité. Soit il y a des bugs qui permettent d'accéder à l'administration du serveur, soit le mot de passe est compromis (root/test, root/admin, sont des classiques). A moins de faire un serveur qui ne fasse rien, et qui n'a pas de compte root, voire un serveur éteint, il y aura toujours moyen d'y entrer de manière frauduleuse. Et je ne vois pas, personnellement, pourquoi lels serveurs gérés via Plesk, DirectAdmin, CPanel, Webmin seraient moins sécurisés que ceux administrés en ligne de commande.

J'ai administré pendant un an un serveur tournant sous Plesk, puis encore une année sous Webmin, avant de passer en SSH exclusivement. Mais cette évolution n'était pas liée à un quelconque problème de sécurité, mais plutôt par volonté d'apprendre, par étapes, ce qui se cachait derrière tout cela pour, ensuite, tirer les performances optimales du serveur loué.