WampServer
Apache, PHP, MySQL
on Windows
Aller à : Liste des Forums•Liste des messages•Nouvelle discussion•Recherche•Connexion•Imprimer la vue
Securité
Envoyé par:
Passyr
(---.rev.numericable.fr)
Date: 24 January 2009 à 20:58
Bonsoir tout le monde.
Je suis nouvel utilisateur de wampserver2 depuis hier et j'avoue être plus que séduit par cet outil.
Je suis parvenu cette nuit (hé oui ça m'a pris une paire d'heures...) à un résultat concluant, en l'occurrence un fonctionnement correct tant en local tant qu'en distant (parefeu, routeur... obligeant).
J'aurais cependant besoin de quelques éclaircissements en matière de sécurité.
Ma machine locale est derrière un parefeu logiciel et un routeur (box).
J'ai modifié le compte "root" et ajouté un mot de passe, minimum de précaution oblige...
Quelles autres pistes faut il privilégier en matière de sécurité ? non pas que je sois paranoïaque, mais qui peut le plus peut le moins... je n'aurais pas envie de me réveiller un matin en trouvant mon "serveur" en vrac ou un disque dur envahi de fichiers qui n'ont rien à y faire. Comment se prévenir au maximum d'intrusions ou attaques ?
Comment logguer ce type d'évènements justement ?
J'ai vu parler par ci par là de "htaccess", cela est il une piste envisageable pour protéger son site ?
Oui, je conçois que ça fait peut être beaucoup de questions pour un début mais je suis preneur de tout conseil avisé ou pistes de réflexion en matière de sécurité et protection de mon tout nouveau serveur ! :-)
Bon week-end tout le monde !
Je suis nouvel utilisateur de wampserver2 depuis hier et j'avoue être plus que séduit par cet outil.
Je suis parvenu cette nuit (hé oui ça m'a pris une paire d'heures...) à un résultat concluant, en l'occurrence un fonctionnement correct tant en local tant qu'en distant (parefeu, routeur... obligeant).
J'aurais cependant besoin de quelques éclaircissements en matière de sécurité.
Ma machine locale est derrière un parefeu logiciel et un routeur (box).
J'ai modifié le compte "root" et ajouté un mot de passe, minimum de précaution oblige...
Quelles autres pistes faut il privilégier en matière de sécurité ? non pas que je sois paranoïaque, mais qui peut le plus peut le moins... je n'aurais pas envie de me réveiller un matin en trouvant mon "serveur" en vrac ou un disque dur envahi de fichiers qui n'ont rien à y faire. Comment se prévenir au maximum d'intrusions ou attaques ?
Comment logguer ce type d'évènements justement ?
J'ai vu parler par ci par là de "htaccess", cela est il une piste envisageable pour protéger son site ?
Oui, je conçois que ça fait peut être beaucoup de questions pour un début mais je suis preneur de tout conseil avisé ou pistes de réflexion en matière de sécurité et protection de mon tout nouveau serveur ! :-)
Bon week-end tout le monde !
Re: Securité
Envoyé par:
Otomatic
(---.fbx.proxad.net)
Date: 25 January 2009 à 09:45
Bonjour,
Je ne suis pas un expert en sécurité, loin de là, mais un minimum serait :
- Mettre un fichier .htaccess à la racine du site qui contiendrait :
Options -Indexes
Ceci empèche, le « catalogage » des dossiers qui ne contiendraient pas de fichier index.* (1)
- La page de « départ » du site doit se nommer index.* (1)
Ceci permet l'exécution automatique du site même si on donne pas le nom du fichier.
- Ne pas accèder aux bases de données par root@localhost, même avec mot de passe ; celui-ci se trouvant « en clair » dans les fichiers de configuration.
Créer un autre utilisateur avec privilèges restreints au strict nécessaire : SELECT INSERT UPDATE DELETE et même uniquement SELECT si seulement consultation et prendre cet utilisateur dans les scripts d'accès aux BDD. Vous pouvez même restreindre ses privilèges à une seule base, voire une seule table.
- Mettre les fichiers de configuration de connexion (base, user, hosts, password, etc) dans des dossiers de deuxième niveau et utiliser les instructions require() ou require_once() pour les lire.
Pour le reste, il serait plus judicieux de lire des sites ou forums consacrés à la sécurité.
(1) l'extension * doit être une de celle admises par le fichier wamp\bin\apache\apache2.2.11\conf\httpd.conf dans les lignes :
<IfModule dir_module>
DirectoryIndex index.php index.php3 index.php5 index.html index.htm
</IfModule>
Je ne suis pas un expert en sécurité, loin de là, mais un minimum serait :
- Mettre un fichier .htaccess à la racine du site qui contiendrait :
Options -Indexes
Ceci empèche, le « catalogage » des dossiers qui ne contiendraient pas de fichier index.* (1)
- La page de « départ » du site doit se nommer index.* (1)
Ceci permet l'exécution automatique du site même si on donne pas le nom du fichier.
- Ne pas accèder aux bases de données par root@localhost, même avec mot de passe ; celui-ci se trouvant « en clair » dans les fichiers de configuration.
Créer un autre utilisateur avec privilèges restreints au strict nécessaire : SELECT INSERT UPDATE DELETE et même uniquement SELECT si seulement consultation et prendre cet utilisateur dans les scripts d'accès aux BDD. Vous pouvez même restreindre ses privilèges à une seule base, voire une seule table.
- Mettre les fichiers de configuration de connexion (base, user, hosts, password, etc) dans des dossiers de deuxième niveau et utiliser les instructions require() ou require_once() pour les lire.
Pour le reste, il serait plus judicieux de lire des sites ou forums consacrés à la sécurité.
(1) l'extension * doit être une de celle admises par le fichier wamp\bin\apache\apache2.2.11\conf\httpd.conf dans les lignes :
<IfModule dir_module>
DirectoryIndex index.php index.php3 index.php5 index.html index.htm
</IfModule>
Désolé, seuls les utilisateurs connectés peuvent envoyer des messages dans ce forum.
