8 votes

mepcotterell avatar

Comment puis-je tester la sécurité de mon serveur ?

Demandé el 29 de Décembre, 2010
Quand la question a-t-elle été
10783 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Comment puis-je tester la sécurité de mon serveur ?

S'il vous plaît, je sais que c'est une question trop générale. Mais je me demandais s'il existe un logiciel de test ou un service web qui vérifie tous les ports de votre serveur, ou éventuellement les failles de sécurité ?

Je vérifie habituellement les permissions unix et c'est tout, mais y a-t-il quelque chose que je puisse faire ?

ps. Les utilisateurs ne peuvent pas télécharger de fichiers avec mes applications web, donc je n'ai pas ce problème.

Demandé el 29 de Décembre, 2010 par mepcotterell

Réponses

Trop de publicités?

5voto

weeheavy avatar
weeheavy Points 4019

En fonction de vos étiquettes, voici quelques conseils de base :

Système d'exploitation (Linux)

  • Appliquer les mises à jour et les correctifs de sécurité, y compris pour le noyau.
  • Outil de vérification pour détecter les changements de fichiers/permissions comme aide, fcheck, tripwire etc.
  • N'activez que les services réseau que vous utilisez réellement (vérifiez auprès de netstat -tulpen )
  • Définition d'un utilisateur sain : qui a un accès root ?
  • SSH : désactiver les connexions directes à la racine
  • Pare-feu matériel ou logiciel

PHP

  • Utilice PHP durci (Suhosin)
  • Recherchez sur le web les meilleures pratiques de sécurité en PHP

MySQL

  • Ou encore, laissez-le fonctionner avec des sockets Unix ou via TCP mais seulement sur localhost/votre réseau local.
  • Définir un mot de passe root
  • Définir des utilisateurs restreints pour chaque application différente

C'est juste les bases pures écrites en 2 minutes. Il y a beaucoup plus.

Répondu el 29 de Décembre, 2010 par weeheavy (4019 Points )

4voto

Marcin avatar
Marcin Points 2241

Télécharger Backtrack et lancez AutoPwn de FastTrack sur votre serveur. Il s'agit d'une approche entièrement automatisée, mais c'est un moyen efficace et peu coûteux de trouver les fruits à portée de main.

Si vous avez des composants web, SkipFish est un autre excellent outil de test automatisé.

Répondu el 29 de Décembre, 2010 par Marcin (2241 Points )

3voto

John Gardeniers avatar
John Gardeniers Points 27097

Il existe de nombreux tests que vous pouvez effectuer et de nombreux outils disponibles pour les tester. Pour commencer, vous pouvez lancer Nikto .

Même si vous pensez que les utilisateurs ne peuvent pas télécharger de fichiers, une faille de sécurité dans les applications ou les services peut prouver le contraire, comme beaucoup l'ont appris à leurs dépens. Partez toujours du principe que votre système est défaillant et vulnérable et cherchez des moyens de le réparer, avant que quelqu'un d'autre ne trouve les failles à votre place.

Répondu el 30 de Décembre, 2010 par John Gardeniers (27097 Points )

1voto

BillThor avatar
BillThor Points 27096

Si vous avez accès au système, vous pouvez trouver les ports qui peuvent être ouverts en utilisant netstat . Il peut énumérer tous les ports d'écoute. Les pare-feu et autres mesures de sécurité peuvent atténuer le risque.

Faites correspondre cette liste à une analyse à distance. Examinez tous les ports que l'analyse à distance montre et qui ne sont pas listés par netstat. Il ne devrait y en avoir aucun qui ne soit pas pris en compte par les règles DNAT d'un pare-feu.

Désactivez les services dont vous n'avez pas besoin. Il était autrefois courant d'enregistrer une variété de services inutiles en cours d'exécution. Beaucoup étaient triviaux, comme Chargen, Time, Daytime, et autres. Certains étaient importants comme Telnet, FTP, HTTP.

Pour les services uniquement nécessaires en interne, configurez-les pour écouter sur 127.0.0.1 et/ou ::1 (IPv6) si possible.

Répondu el 29 de Décembre, 2010 par BillThor (27096 Points )

1voto

Vitaly Nikolaev avatar
Vitaly Nikolaev Points 366

BackTrack FastTrack's AutoPwn est bon pour les très vieux serveurs avec de très vieux paquets installés. Si vous avez un linux/Windows moderne et mis à jour, il ne trouvera rien. (J'aime bien Backtrack mais c'est un outil sérieux qui nécessite des connaissances approfondies en matière de sécurité et de pen testing).

Je vous recommande d'installer et de scanner votre serveur avec Nessus, il est assez puissant (même si la version gratuite n'a pas les dernières signatures de vulnérabilité) et peut non seulement scanner les ports ouverts et les logiciels vulnérables à distance, mais aussi se connecter au serveur avec des informations d'identification root et effectuer un audit local.

Ce n'est qu'un outil, il ne suffit pas à rendre votre serveur "sûr", mais avec, par exemple, les conseils de weeheavy, vous pouvez vous en rapprocher.

J'ajouterais également le suivi. Installez OSSEC ou son analogue (tripwire, etc.), vous voulez être averti si quelque chose de bizarre se passe sur le serveur en temps réel par email/sms/etc.

Répondu el 29 de Décembre, 2010 par Vitaly Nikolaev (366 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X