Sécurité sur serveur dédié ???

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

Sécurité sur serveur dédié ???

BSRrules
Bonjour,

Petit nouveau dans le monde d'OpenBSD, je me pose des questions quant à la sécurité d'un serveur web installé chez un fournisseur de serveurs dédiés.

Dans la FAQ8.1 d'OpenBSD il est indiqué que si la machine n'est pas sécurisée physiquement, on n'a pas de réelle sécurité. Or chez un fournisseur de serveurs dédiés c'est le cas. D'une part leur personnel (y compris éventuellement leurs stagiaires etc) peut avoir un accès physique au matériel et d'autre part vu qu'il y a un système de management du serveur par l'intermédiaire du site web du provider, un pirate qui arriverait à hacker le provider et récupérer les mots de passe (hashés si on a de la chance mais parfois de taille limitée à 8 caractères...) peut potentiellement venir bidouiller le système.

Existe-t-il un moyen efficace de se protéger contre cette faille de sécurité ?

Je me dis qu'il faudrait que l'ensemble du système soit chiffré et qu'au boot la clef de déchiffrement soit demandée à distance via un canal chiffré (SSH). Malheureusement le bout de code qui assurerait cette fonction doit être en clair donc serait vulnérable...

Bref, impossible ?

Merci d'avance
Reply | Threaded
Open this post in threaded view
|

Re: Sécurité sur serveur dédié ???

Jérôme Loyet-4
pour la faire courte: la sécurité à un coût. Quel est le besoin et
quelles est la confidentialité/criticité des données présentes sur le
serveur ?

Après si c'est pour le fun alors dans ce cas ce n'est pas la même chose.

Je doute qu'un hébergeur type dedibox fasse des baies grillagées et
scellées + ampoule au mercure :)

Le 13 mars 2010 11:56, BSRrules <[hidden email]> a écrit :

>
> Bonjour,
>
> Petit nouveau dans le monde d'OpenBSD, je me pose des questions quant à la
> sécurité d'un serveur web installé chez un fournisseur de serveurs dédiés.
>
> Dans la FAQ8.1 d'OpenBSD il est indiqué que si la machine n'est pas
> sécurisée physiquement, on n'a pas de réelle sécurité. Or chez un
> fournisseur de serveurs dédiés c'est le cas. D'une part leur personnel (y
> compris éventuellement leurs stagiaires etc) peut avoir un accès physique au
> matériel et d'autre part vu qu'il y a un système de management du serveur
> par l'intermédiaire du site web du provider, un pirate qui arriverait à
> hacker le provider et récupérer les mots de passe (hashés si on a de la
> chance mais parfois de taille limitée à 8 caractères...) peut
> potentiellement venir bidouiller le système.
>
> Existe-t-il un moyen efficace de se protéger contre cette faille de sécurité
> ?
>
> Je me dis qu'il faudrait que l'ensemble du système soit chiffré et qu'au
> boot la clef de déchiffrement soit demandée à distance via un canal chiffré
> (SSH). Malheureusement le bout de code qui assurerait cette fonction doit
> être en clair donc serait vulnérable...
>
> Bref, impossible ?
>
> Merci d'avance
>
> --
> View this message in context: http://old.nabble.com/S%C3%A9curit%C3%A9-sur-serveur-d%C3%A9di%C3%A9-----tp27886955p27886955.html
> Sent from the openbsd - France mailing list archive at Nabble.com.
>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Sécurité sur serveur dédié ???

Noryungi
In reply to this post by BSRrules

Comment se faire des noeuds au cerveau...

--- On Sat, 3/13/10, BSRrules <[hidden email]> wrote:
> Petit nouveau dans le monde d'OpenBSD, je me pose des
> questions quant à la sécurité d'un serveur web installé chez un
> fournisseur de serveurs dédiés.

En fait, ta question n'a pas vraiment de rapport avec OpenBSD : elle se poserait de la même manière si tu utilisais Linux ou NetBSD (au hasard). Mais bref.

> Dans la FAQ8.1 d'OpenBSD il est indiqué que si la machine
> n'est pas sécurisée physiquement, on n'a pas de réelle sécurité.

C'est exact.

> Or chez un fournisseur de serveurs dédiés c'est le cas. D'une part
> leur personnel (y compris éventuellement leurs stagiaires etc) peut
> avoir un accès physique au matériel et d'autre part vu qu'il y a un
> système de management du serveur par l'intermédiaire du site web du
> provider, un pirate qui arriverait à hacker le provider et récupérer
> les mots de passe (hashés si on a de la chance mais parfois de taille
> limitée à 8 caractères...) peut potentiellement venir bidouiller le
> système.

La première partie de la question revient à demander : est-ce que je peux faire confiance à la société qui héberge mon serveur ?

Et là, malheureusement, je ne peux pas répondre à ta place, étant donné que je ne sais qui héberge ce serveur web.

Ceci dit, en général, la plupart des "gros" hébergeurs du marché doivent répondre à des normes assez draconiennes et se mêlent le moins possible des machines de leurs clients. Ils ont déjà assez de travail avec leur propre infrastructure et leurs serveurs...

La deuxième partie de la question revient à dire : que se passerait'il si quelqu'un pouvait pirater la console web de management de ma machine ?

Là, tout dépends : (a) de la sécurité de cette fameuse console (qui doit être généralement assez bonne), (b) de la validité de ton mot de passe (si c'est 8 caractère, là, c'est sûr, c'est limité) et (c) des possibilités offertes par cet accès web - si c'est juste relancer la machine et/ou l'éteindre électriquement, ça va encore, si c'est aussi ouvrir une console sur la machine ça devient plus tangeant... Mais tu as un bon mot de passe sur la machine, bien sûr ?

> Existe-t-il un moyen efficace de se protéger contre cette
> faille de sécurité ?

Cf. (au hasard) : http://www.openbsd.org/cgi-bin/man.cgi?query=securelevel&sektion=7&apropos=0&manpath=OpenBSD+4.6&arch=i386

-> Passer une machine OpenBSD dans un 'securelevel' élevé permet d'interdire la modification des fichiers systèmes. Ca vaut ce que cela vaut.

Voir également :
http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config&sektion=5&apropos=0&manpath=OpenBSD+4.6&arch=i386

-> Interdire l'accès de root par SSH.

http://www.openbsd.org/cgi-bin/man.cgi?query=tcp+wrapper&sektion=0&manpath=OpenBSD+4.6&arch=i386&apropos=1&format=html

-> Interdire à l'interface web d'accéder aux services de la machine OpenBSD (y compris SSH et HTTP).

PF possède également des fonctionnalités qui interdisent le brute-force sur OpenSSH - Cf. : 'The Book of PF' de Hansteen (http://nostarch.com/pf.htm), en Français chez Eyrolles. Sinon, il est également possible d'installer un logiciel du genre Fail2ban qui fait exactement la même chose.

Enfin, rien ne t'interdit de mettre un logiciel comme AIDE sur ta machine, pour vérifier périodiquement que tes binaires n'ont pas été compromis.

> Je me dis qu'il faudrait que l'ensemble du système soit
> chiffré et qu'au boot la clef de déchiffrement soit demandée à distance
> via un canal chiffré (SSH).

Ce qui est franchement impossible. Par contre, si ton site web fait appel à une base de données, rien ne t'empêche de chiffrer la base elle-même.

J'espère que cela t'aide.

-- N.





________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Sécurité sur serveur dédié ???

Jean-Francois Simon
In reply to this post by BSRrules
Bonjour,
C'est à dire qu'il faut mettre les moyens en fonction de la sécurité dont on a
besoin.
Plus on a besoin de sécurité, plus cela va voûter cher, mais aussi plus cela
va impliquer que pour pirater, il faut mettre les moyens en conséquence,
autrement dit on augmente la difficulté et les risques et le coût du piratage.

Si tes données sont trop importantes pour être confiées à un provider
extérieur, il te faut prévoir une structure toi même ou t'auto héberger par
exemple. Je pense que quand on a des données trop importantes pour être
confiées à un tiers, il ne reste qu'une solution.

La cryptographie est aussi très utile dans ce domaine.

Ultimement, la sécurité physique doit être garantie bien sûr, sinon un acces
physique au disque permet de le subtiliser et de le lire, ici intervient la
cryptographie.

Déchiffrer des données est aussi faisable mais coûte extrêmement cher, cela
demande une grande puissance de calcul.

A+

Le Samedi 13 Mars 2010 11:56:53, BSRrules a écrit :

> Bonjour,
>
> Petit nouveau dans le monde d'OpenBSD, je me pose des questions quant à la
> sécurité d'un serveur web installé chez un fournisseur de serveurs dédiés.
>
> Dans la FAQ8.1 d'OpenBSD il est indiqué que si la machine n'est pas
> sécurisée physiquement, on n'a pas de réelle sécurité. Or chez un
> fournisseur de serveurs dédiés c'est le cas. D'une part leur personnel (y
> compris éventuellement leurs stagiaires etc) peut avoir un accès physique
> au matériel et d'autre part vu qu'il y a un système de management du
> serveur par l'intermédiaire du site web du provider, un pirate qui
> arriverait à hacker le provider et récupérer les mots de passe (hashés si
> on a de la chance mais parfois de taille limitée à 8 caractères...) peut
> potentiellement venir bidouiller le système.
>
> Existe-t-il un moyen efficace de se protéger contre cette faille de
> sécurité ?
>
> Je me dis qu'il faudrait que l'ensemble du système soit chiffré et qu'au
> boot la clef de déchiffrement soit demandée à distance via un canal chiffré
> (SSH). Malheureusement le bout de code qui assurerait cette fonction doit
> être en clair donc serait vulnérable...
>
> Bref, impossible ?
>
> Merci d'avance

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php