[sushi]

Bonjour,

Je viens de créer mon site Web grâce au CMS Drupal , j'utilise pour cela un serveur apache2 tournant sous ubuntu Hardy Heron.

J'aimerais savoir qu'elles sont les erreurs les plus courantes à corriger/vérifier avant la mise en ligne du serveur Linux?

Ensuite quels types de tests de sécurité devrais-je effectuer pour éviter tout type de hack "facile" (ou même de niveau intermédiaire d'ailleurs :p ).

en éspérant que vous puissiez m'aider,

Cordialement,

sushis

[akway]

Salut sushi !

Pour pas te faire bouffer( ok,ok, ===>[ ]) à la création d'un site web je te conseille de :

1) Te renseigner sur les failles connues de ton CMS / faire les mises a jour aussi souvent que possible.

2) vérifier scrupuleusement les services qui tournent sur la machine hôte, un serveur web sécure c'est bien, mais l'accès en ssh avec un password par défaut ... (bien blinder tes pass avec des caracteres alphanumériques et caractères spéciaux)

3) sécuriser l'acces aux repertoires avec des htaccess / penser à mettre des index dans les repertoires.

4) bien faire gaffe avec les zoli z'includes

5)si tu permet à un utilisateur d'uploader des fichiers (meme un tout petit avatar) vérifie rigoureusement que les données uploadées sont legitimes.

6) never trust user 's input !

On pourrai s'éterniser sur le sujet car on est jamais sécure a 100% mais un backup régulier t'évitera, dans la majorité des cas , bien des ennuis !

PS : merci BAAL, après verification sur wikipedia il s'avère que tu as raison !

[the lsd]

5) never trust user 's input !

Surtout oui !

Sinon, n'oublie pas de vérifier avec quel user sont lancés tes services.

Enjoy

The lsd

[BAAL]

1) Te renseigner sur les failles connues de ton CMS / faire les mises a jour aussi souvent que possible.

...

6)si tu permet à un utilisateur d'uploader des fichiers (meme un tout petit avatar) vérifie rigoureusement que les données uploadées sont legitimes.

5) never trust user 's input !

Il faut commencer à compter à partir de 0, et je crois aussi que le 5 vient avant le 6 (mais j'en suis pas sûr à 100% faudra vérifier...)

[sushi]

Je n'ai pas touché à une ligne de code du CMS.

Par contre, j'ai bien peur que les quelques modules que j'ai installé puissent inclure quelques failles, je vais me renseigner demain ^^ .

Drupal protége mes fichiers avec htaccess , mais **orthographe !** appris que htacess comprend plusieurs failles de sécurité!
Par contre, je ne voie pas où tu veux en venir avec les index (j'ai beaucoup de mal avec les mots, tu veux que je crée une archive? une sauvegarde? )

Je n'ai pas activé le deamon ssh (je dis peut-être une bétise là ^^ ), je devrais peut-être créer un script bash qui m'enverrais par mail toutes les heures "qui est connecté au serveur" ? Est-t-il nécessaire d'utiliser un IDE ?

Pour les includes, je n'ai pas touché au code PHP devrais-je m'en préocupper?

"Never trust user's input"? je suis une bille en anglais, je ne comprend pas trés bien.

Et pour finir, des données légitimes? (bien signé? une bonne empreinte? suis-je en train dire n'importe quoi? ^^ ).

Désolé pour ce flux de question ^^ , je suis encore novice pour ce qui touche la sécurité informatique...(d'ailleurs pour tout ce qui touche à l'informatique tout cours :p ).

[the lsd]

Même si tu n'as pas touché au code du CMS, celui ci est peu être périmé (si ça sent fort quand tu l'ouvres, c'est qu'il est périmé, tu peux le jeter). Vas voir sur Secunia, milw0rm, secuObs et autres sites du genre. Vérifie bien le CMS mais aussi tous les modules. Le tout par rapport aux différentes versions des modules et du CMS.

Mettre des index sert à éviter le listing des répertoires (tu as surement déjà vu les pages "Index of"). Un fichier index (.html, .html, .php peut importe) suffit a ne pas lister les répertoires (lister des répertoires permet de connaitre certaines infos, comme le type de nommage des fichiers/dossiers, et d'accéder à des fichiers d'une manière non prévue). Il suffit de créer un fichier "index.html" vide.
Pour les .htaccess, tout dépend de la manière dont tu les utilises.

M'est d'avis qu'un mail par heure ça va vite te faire chier, mais tu fais comme tu veux. Si ton serveur ne fais que du web. Utilises seulement le minimum, selon tes besoins bien sur. Apache (obligatoire celui là), PHP, SQL, Mail (si tu veux, c'est pas obligatoire), SSH si tu as souvent besoin d'accéder à distance à la machine (mais attention ! Utilises des clés, pas juste une passphrase. Bon courage, c'est chiant).

Au niveau des includes, remontes au niveau de milw0rm, Secunia et les autres. Si tu n'as pas touché au PHP, la seule chose à faire, c'est vérifier les failles possibles du CMS.

Never trust the user input -> Ne jamais croire l'entrée de l'utilisateur, mot à mot. En gros tu dois TOUJOURS te méfier du type qui navigue sur ton site. cf le point suivant.

Pour ce qui est des données légitimes, en fait, il faut que tu détermines quels types de données doit aller dans quels champs. Si tu demandes une date de naissance par exemple, tu ne dois avoir que des chiffres. Si l'utilisateur rentre des lettres, il essaye de manipuler les champs, et ce ne sont plus des données légitimes.
D'où le "Never trust the user input".

Enjoy

The lsd