Dans l'ensemble, je suis d'accord avec toutes ces avancements, ...
Mais ...
Envoyé par
AnonymousCoward
- Il est très vite fait d'avoir un service installé genre mysql ou un serveur FTP ....
Ces services, justement sont TOUS, par défaut 'bound' à 'localhost' (127.0.01 ou ::1).
A l'admin de faire ce connerie monumentale d’attacher MySQL à un IP 'externe'.
Je sais très bien qu'on peut aussi prendre l'auto route à l'envers, mais le bon conducteur ne va pas tenter ça.
L'idiot, lui ......
FTP : il existe mieux depuis des années.
Envoyé par
AnonymousCoward
- Les serveurs OVH, à la livraison, incluent un service DNS activé pour accélérer la résolution des noms de domaine.
Oula ...
'bind', pour nommer un, n'est est présent en tant que 'esclave', et écoute que sur 'localhost' - ça change si l'admin désire activer son serveur DNS en tant que maître DNS d'un domaine, bien sur, mais de la à 'jouer le DNS pour la planète entier'.....
Garder ces applications à jour (et les programmes) et suivre les consignes comme indiqué dans le JT (par exemple) et tout va bien..
Envoyé par
AnonymousCoward
- Fail2ban ou équivalents ne permettent pas de protéger tous les services.
fail2ban (presque 6K IPv4 bloques en ce moment ) ne 'protège' que tes tentatives authentification répétitives auprès mes CMS (et OPO, IMAP, certains requêtes classiques et bidon coté serveur web (comme w00tw00t etc), DNS, etc
Je ne le vois pas vraiment comme outil de sécurité de mon serveur.
Coté IPv6 : t'as raison - je bloque direct le /56 par IPv6.
Envoyé par
AnonymousCoward
Quand OVH ferme un serveur parce-qu'il sert de relais pour en attaquer d'autres, j'approuve totalement.
+1
Envoyé par
AnonymousCoward
- Il y a beaucoup de hacks de scripts PHP qui se font ...
UN des mes critères pour sélectionner un 'plugin' ou 'extension' d'un CMS est : il est sur ? (le 'jolie' ou 'utile' sont MOINS important).
Bien sur, je vais parcourir le script pour voir comment il fonctionne ...
C'est vrai, un script PHP à la con va peut être 'seulement' farcir le serveur Mail avec des mails 'spam', sachant qu'il tourne sur l’identité (ou sous-identité) du serveur web il n'a pas le droit exécuter grand chose. Pour moi, le fait qu'un tiers arrive à exécuter quelque chose (pas mes scripts, mes CES scripts) sur MON serveur, je considère mon serveur est à deux doigts de se faire hacker complétement ....
Compter sur le fait que le hackeur n'est qu'un pauvre imbécile, je ne compte pas là dessus.
J'avoue, le doc d'Apache, de Bind, SSH (OpenSSL), postfix, c'est lourd - c'est longue.
Et totalement indispensable.
Heureusement, ces docs sont écrit et amélioré pendant des dizaines d'années, par des centaines des milliers de personnes.
J'y croix donc dans ces appliations. Le seule danger est et reste : l'ignorance du admin.
Et par ce que je suis 'vieux', j'adhère au : "quand on connait pas, on touche pas".
Notre serveur est quand même placé DANS l'internet, l'endroit ou il n'y pas de règles qui nous protège quand on foire son coup.
PS : merci pour ton analyse.