Securisation SME

[ach]

Bonjour,

Un peu parano sur les bords , je voudrai savoir si vous connaissez un tuto qui
traite de la securisation de SME.

Les CHMOD sur les repertoires web, comment changer le banner smtp, quel sont les
ch'tit trucs a eviter.

Je compte me servir de ce serveur pour faire aussi du reverse proxy, afiin de pouvoir rediriger les requettes http vers un serveur webmail interne.

Ya t-il des choses auquel preter attention dans la config ?

Merci !

[shwing]

ce post va faire surement plaisir aux personnes qui devellopent ...

ok, il est tard...

[S0l0]

trol engaged...
si tu veut vraiment securiser ton SME installe OpenBsd

plus serieusement c'est pas vraiment sme que tu 'securise' mais tous les services que tu fait tourner independement les uns des autres , et pour ce qui est du systeme quel interet de rajouter encore un module a moins que ce soit un qui t'apporte vraiment un plus.

[ach]

Trop fort ...

merci des tuyaux

[jdh]

Au risque de répéter, pour expliquer un peu des choses,

Il est vraisemblable que les développeurs de SME, outre les choix de programmes qu'ils ont fait (qmail au lieu de sendmail ou exim ou postfix, dnsmasq au lieu de bind, ...), ont sûrement fait des choix dans le paramétrage de ces programmes.

Je pense que cette config est aux petits oignons. La même chose pour IPCOP, pfSense, ...


Tu peux maintenant, ach, comprendre que les vieux routiers de ce site ne gouttent pas trop des questions du genre "comment faire plus ?". Certes les réponses sont plutôt ironiques mais la question ne parait pas justifiée. Je dirais même qu'il vaut mieux s'inspirer des réglages choisis si on veut mettre ces programmes dans une autre distribution.


(NB: BANNER est-il défini dans le fichier de conf de qmail ? C'est pas trop dur à trouver !)

[jibe]

Salut,

Je pense que le principal a été dit, et que jdh résume très bien la situation. Je me contenterai donc de rappeler deux choses :

1 - La sécurité informatique est une chaine dont la solidité est celle du plus faible de ses maillons. Qu'en est-il chez toi de la politique de sauvegarde, de l'accès physique à la SME, du choix du matériel, de sa maintenance etc ? C'est probablement par là qu'il faut commencer plutôt que vouloir renforcer le maillon qui est de loin le plus solide dans presque toutes les installations que je connais...

2 - La SME est née d'un concept qui cherche à répondre à un besoin : avoir un serveur "tout en un" sécurisé très simple à installer et à administrer. Elle répond parfaitement à ce cahier des charges, et la sécurité n'est pas loin de la perfection dans ce contexte. Si elle ne te suffit pas, c'est que tu n'as pas fait le bon choix au niveau de ton architecture réseau. Pour faire mieux, la première chose à faire est de bien séparer les services.

[ach]

je comprend mieux "l'ironie" maintenant.

Je ne suis point ferru adepte des solution open, pour cause de ne pas assez les connaitres.

SME n'est pas une decision mais un choix de depart pour la facilité d'install et une approche de cela.

Actuellement, je bouquine deja pour comprendre l'arborescence d'un systeme "nux" afin de savoir ou naviquer dans tout cela.

pour le banner, je t'avoue ne pas savoir ou taper, car je ne sait meme pas comment est constitué un programme comme qmail, et meme son emplacement logique.

Donc, pas trop envie de taper la recherche "textuelle" de contenue pour changer betement tout et n'importe quoi sans savoir ce que je fais, et surtout le comprendre.

Je comprend que mon post soit assez ininterressant, désolé, je repasserai pour un prochaine edition avec dans ce cas des questions plus évoluée

@+

[fred-info]

Je ne suis point ferru adepte des solution open, pour cause de ne pas assez les connaitres.

Si tu connais mieux les soluces 'fermées' dis moi comment tu fais.

Je comprend que mon post soit assez ininterressant, désolé, je repasserai pour un prochaine edition avec dans ce cas des questions plus évoluée

L'orthographe c'est déjà dur, la syntaxe aussi, alors le réseau ...



A+

[jibe]

Salut,

Ebédidon ! On dirait que certains n'ont pas trop envie de voir s'élargir le cercle des utilisateurs du libre

Bon, ne te vexe pas, ach : c'est assez classique de se faire mettre en boite, mais par ailleurs tu peux toujours compter sur le soutien d'un bon paquet de monde. Simplement, on attend de toi de faire un minimum d'efforts, ESR (une figure célèbre du libre) l'explique assez bien dans ce document qui aide un peu à comprendre la communauté du libre.

Si tu veux essayer d'en savoir un peu plus sur Linux, va faire un tour du coté de Lea. Tu peux aussi consulter le Lea Book. Et pour la SME, consulte les newbies kits (en post-it sur ce forum) : ils te renverront vers tout un tas de sites intéressants (en même temps qu'ils te donneront tout un tas d'astuces).

[fred-info]

Salut,

bon c'est vrai, je me suis un peu emporté.

Excuse moi ACH. Mais à certaines heures c'est pas toujours facile...

Tu ne trouveras pas de meilleurs solutions que dans le libre.
Seule le pérennité de la soluce peut être une faille. Mais dix autres projets auront pris le relais.
Donc le risque est nul.


Il a été dit dans ce fil de discussion que le maillon le plus faible d'une chaine était le point faible.
C'est vrai. Mais dans le libre les ressources étant partagées, les plus forts corrigent les faiblesses.


A+

[jibe]

Note que je suis un peu d'accord avec toi en ce qui concerne l'orthographe, fred-info

Mais là :

Il a été dit dans ce fil de discussion que le maillon le plus faible d'une chaine était le point faible.
C'est vrai. Mais dans le libre les ressources étant partagées, les plus forts corrigent les faiblesses.

Je le suis beaucoup moins... Ou alors, on ne parle pas du tout de la même chose....

En quoi par exemple le fait d'utiliser une SME (maillon fort) compense le fait de ne pas avoir de sauvegardes (maillon faible) ?

Je me plaçais sur le plan de la sécurité, et bien sûr principalement de la sécurité des données. Si on veut qu'elles ne soient ni corrompues, ni perdues, ni volées, il y a un certain nombre de mesures à prendre. Un bon firewall, une bonne architecture réseau en est une, indispensable. Il y en a bien d'autres, toutes aussi indispensables : sauvegardes, matériel en bon état (même avec des sauvegardes, un crash du matériel provoque généralement la perte définitive de certaines données (celles non encore sauvegardées) et en tous cas une perte d'exploitation) etc. Je ne vois pas comment une chose peut en compenser une autre...

Même en partant du principe qu'un matériel fiable évitera les pertes par panne du disque, cela ne protège en rien des fausses manips, du vol du serveur (j'ai vu ça plusieurs fois !) etc.

Mais peut-être que tu ne parlais pas de ça ?

[ach]

Ya pas de mal.

Du coup, j'ai acheté un bon bouquin traitant mes intérogations

Avec un peu de temps et de pratique, je comprendrai bien assez vite !

[fred-info]

Salut,

Mais là :
fred-info a écrit:
Il a été dit dans ce fil de discussion que le maillon le plus faible d'une chaine était le point faible.
C'est vrai. Mais dans le libre les ressources étant partagées, les plus forts corrigent les faiblesses.

Je le suis beaucoup moins... Ou alors, on ne parle pas du tout de la même chose....

Oui j'ai pas été très clair. Je parlais des dev. Dans un projet collaboratif avec les sources open les meilleurs corrigent et améliorent le travail des autres.

Pour ce qui est des sauvegardes et du choix de matériel de qualité je suis entièrement d'accord avec toi. Et j'irais même plus loin. Il est impératif de faire des tests de réinstall sur une autre machine pour vérifier la qualité de ses sauvegardes. Trop de gens croient en leurs sauvegardes sans les tester.

Bonne journée.

A+[/quote]

[jibe]

Salut,

Oui j'ai pas été très clair. Je parlais des dev.

Effectivement, on n'était pas du tout sur la même longueur d'onde !