Sécurisation des services

#1

Bonsoir tout le monde.

Je me permets de vous écrire car une question restant sans réponse me taraude depuis quelques temps.
Lorsque l’on installe Apache, Nginx, Wordpress ou d’autre services exposés vers l’extérieur, et que l’on suit la documentation officielle ou des guides tiers, la question de la sécurité est majoritairement omise.

Alors oui, ça fonctionne, mais est-ce que la configuration “par défaut” est suffisante ?

Un peut de contexte : je souhaite créer un site avec Wordpress sur une machine virtuelle, il me faut donc installer un serveur Web, avec MariaDB et PHP.
Si je me réfère à la doc, rien de bien compliqué, en quelques commandes tout fonctionne.
Mais mon côté (peut-être trop) paranoïaque me fait penser que tout ceci est beaucoup trop beau pour être sécurisé :wink:
Je ne parle pas ici de la sécurité “de base”, identification par clés, fail2ban, portsentry, firewall …etc. mais bien de la sécurité des services exposés au public.

Je vous souhaite une bonne soirée :slight_smile:

#2

Ce n’est pas que technique la sécurité … loin de là, les meilleurs sont surtout des bons vieux/gros/jeunes (etc) vicelards :wink: : faut être “tordu” dans cette discipline … vraiment.

Perso. ce que j’ai toujours vu ce sont des bonnes segmentations physiques et logiques des réseaux couplées à des filtrages de flux efficaces … après les fail2ban etc … mouaih, si c’est pour ban un user qui se plante de password 6 fois , ok …:roll_eyes: (une bonne appli. correctement codé , style nextcloud embarque un mécanisme de blocage des brutes forces)

Le firewall (compris filtrage de paquet) seul ça n’existe quasiment plus dans le monde pro. : on parle d’UTM, les firewall bossent sur les 7 couches du modèle OSI : c’est l’aiguilleur (il aiguille et peux filtrer ).
Ensuite il y a filtrage des flux et analyses des menaces couplés avec les sondes d’analyses réseau … (trafics et menaces) : avec des types derrières, parfois H24,7/7.:grimacing:

Mettre nginx, fail2ban et croire que c’est bon : ben non. Quand le gars va te taquiner et attendre que tu oublies la mise à jour … où trouver/chercher une 0 days sur le composant hébergé par ton nginx , et là tu tombes. La merde viens souvent de la dernière brique : le gentil Wordpress , le serveur dovecot, le Nextcloud (celui là aussi il doit en avoir des failles), le php (justement signalé par djayroma )…

Un conseil : DMZ avec relais , proxy(et reverse) , filtrage ET ensuite une zone LAN avec le backend (le serveur nginx avec Wordpress) … ensuite ben y’a worpress quoi … :pensive:

C’est comme dans la vie : si tu sors pas de chez toi ben tu risques moins de choper une maladie … mais quand tu vas dans une gare un jour … aille !! (je joke!!)

#3

Merci pour ta réponse :slight_smile:

Aurais-tu des cours ou autres ressources à me conseiller sur le sujet ?

#4

Modestement un cours que j’avais écris en 2011 … il y a pas mal de concepts à maîtriser.
C’est axé sur les firewall (et comment les déployer, avec un exemple from scratch , qui est la pour comprendre !) mais pas que , je parle de sécurité en général aussi … d’archictectures securisées , courantes …
La techno a (un peu) evolué (on virtualise un peu plus les appliances de sécurité de nos jours), les concepts, eux, sont pour beaucoup restés !

Les critiques sont les bienvenues.

https://wiki.ilinux.fr/lib/exe/fetch.php?media=medias:firewall_-architecture_et_d%C3%A9ploiement_linux.pdf

1 Like
#5

Super je vais lire ça merci ! :smiley: