Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[RESOLU en partie] apprentissage sécurité site web et bdd

dodovolant

Bonjour à tous et bon dimanche.
Je viens d'être 'sujet' (je ne dis pas 'victime' puisque cela me rend service!) d'une "démonstration pratique" dont je pense pouvoir deviner l'auteur (mdr...) des insuffisances de sécurité de mon site internet. (concrètement 800 inscriptions sur le site en deux minutes, et qqes tentatives de requêtes dans ma bdd qui ne semblent pas avoir abouti....).
Je souhaite donc me documenter rapidement et efficacement sur les consignes de base en termes de "sécurité des sites".
Les curieux trouveront le début du feuilleton en bas du topic suivant ....
En résumé : Je ne suis qu'un modeste "amateur-éclairé" en micro-informatique et construction de sites web, et j'utilise des "services de pro" pour les opérations que je ne maîtrise pas..... (construction d'une base de données personnalisée avec requêtes diverses possibles....). Je suis donc parfaitement preneur de tous conseils et "guidages vers les meilleures docs de base" dans le domaine de la sécurité des sites..... Merci d'avance.

dodovolant

PS : je suis déjà en train de lire les docs ubuntu "serveur http apache2", "tutoriel lamp repertoires de travail", et "tutoriel securiser apache2".... Merci de me préciser simplement si cela suffira à mon information/instruction, ou s'il y a "mieux et plus complet" ailleurs??

dodovolant

Dernière précision : les sites à protéger sont hébergés, soit chez free.fr, soit chez OVH (et pas 'en local'). Je suppose qu'il y a donc (notamment chez OVH?) des 'premières mesures de sécurité' déjà actives? et je n'ai besoin que des compléments de sécurité à installer par le "client/utilisateur".....
Mille mercis de vos bons conseils....

dodovolant

Pour le long week-end, j'ajoute une question technique : l'utilisation de SPIP comme architecture de site est-elle de nature à améliorer la sécurité?? Par exemple depuis la version 2.0 (et on en est à 3.0) le "plugin catcha" n'est plus disponible. A votre connaissance cela signifie t-il qu'on peut vraiment s'en passer sur un formulaire sous spip?
Merci d'avance.

jacques06

Pour etre en ce moment (et sans doute de puis longtemps) victime d'une attaque, ce que je peux déjà te dire c'est que sur ovh (comme chez la plupart des hebergeur sur tu est sur un serveur dédié, c'est à TOI de configurer la sécurité.et a la contrôler la protection par défaut ne suffit PAS.

sur ton installation tu devras faire attention a 2 endroits : possibilité de connection a la machine en mode console via port ouvert inutilement, faille de sécurité d'un programme ouvert sur l’extérieur (serveur apache mais pas seulement : POP/SMTP telnet SSH, Serveur de BD etc...) attention ces programmes tournent peut être sans que tu le saches sur ta machine en raison d'une installation par défaut.
Sécuriser cette partie est de la compétence du firewall ( tu devras dropper tout ce qui ne te sers pas et privilégier les connections locales a ton sgdb) et de la mise a jour de ton système (application des patches de sécurité ou des dernières versions). (typiquement a toi de configurer le firewal. si tu ne fais que du shh et du 80 dessus, ferme TOUS les ports entrant et ouvreles ports 80 et 22)
La deuxième partie tiens a la sécurisation des scripts executées par tes serveurs lors des appels a ceux ci (pour apache : PHP, CGI, mais aussi formulaires... (j'ai déjà vu des JS dans des fichiers HTML qui ecrivaient la requete MYSQL et renvoyaient une page avec le résultat...) (plus viscieuseument il est souvent possible (et recherché par les pirates) d'entrer dans un site type cms avec des failles de type XSS -cross site scripting)
les CMS tyoe spip, joomla etc "pensent" pour toi a ce genre de chose, mais ils ne sont pas parfaits. et leur utilisation demande de la prudence et surtout une mise a jour permanente et un suivi de l'actualité autour de ces produits. (inscris toi par exemple a leur newsletter et LIS LA)
cree un vpn sur ta machine pour y accéder en mode console et surveille les connections (netstat est ton ami)

et si tu veux savoir ce que ça donne de ne pas suivre ces conseils (et encore c'est sans doute loin d’être suffisant) : http://forum.ubuntu-fr.org/viewtopic.php?pid=13561681

dodovolant

Mille mercis de ta contribution.... Juste une question : tu écris

jacques06 a écrit (comme chez la plupart des hebergeur sur tu est sur un serveur dédié, .../...

voulais-tu dire "SI tu es..." ??? A ma connaissance, je suis sur un serveur "mutualisé" si j'ai bien compris....

jacques06

Oui je voulais dire "si"
Il y a plusieurs type d'hebergement....
et une légère nuance entre serveur mutualisé et dédié mais du point de vue utilisateur qui est est tien, c'est la meme chose. dans le cas d'un serveur mutualisé tu "partages" les ressources d'un même serveur avec d'autres, et dans le cas d'un serveur dédié tu es tout seul a utiliser le proc, la memoire, le DD... mais dans les 2 cas tu vois une seule machine et quand c'est bien fait, c'est totalement étanche.
c'est pour ça que par abus de langage je parle de serveur dédié puisque mes conseils s'appliquent dans les 2 cas.

dodovolant

J'ai découvert "Galette" que j'utilise sur un nouveau site..... Le logiciel a l'air 'sérieux' et bien 'suivi'.....
On verra à l'usage......