Je ne veux pas paraître rabbat-joie, mais dans la flore moderne du Web qui clignote et qui mange un peu chaque jour des parts du traffic global, il n'y a guère plus de gros LAMP en production (tout court ?) qui serve du HTTP. LAMP (encore que, Apache/nginx avec un PHP fcgi, cluster de base de données déporté sera bientôt plus courant) est là pour servir une application, plus guère de HTTP (bien sûr qu'il sert du HTTP, mais c'est marginal et pas à destination du client final). Par serveur HTTP dans la question originale, j'imagine qu'on entend frontal, et qu'on laisse donc de côté la partie applicative ayant vocation à être sécurisée ailleurs et différemment (sur d'autres machines).
Sécuriser du HTTP, c'est donc essentiellement avaler de la requête dans un premier temps. Outre le hardening classique et très généraliste (filtrage réseau, DOS mitigation, services d'administration sur réseau privé, etc.), on ajoutera une fois que le système tient la charge un firewall couche 7 filtrant basiquement les énumérations et autres burinages pouvant effondrer le système (en veillant à ce que le waf lui même ne s'effondre pas). À vouloir détailler plus, on se retrouve à cheval côté applicatif, auquel cas je rejoins un message plus haut : ça dépend ; mais je crois que c'est hors propos.
On Wed, 2012-04-04 at 19:54 +0200, Florian Maury wrote:
Le 4 avr. 2012 à 16:49, Julien Escario a écrit :
Plus sérieusement, que répondre à ça à part 'ça dépend' ?
"Ça dépend", ça dépasse (toute ma considération à ceux qui retrouveront la référence).
J'ai écrit, il y a quelques mois, un document sur le renforcement d'une architecture mutualisée LAMP sous Debian.
Bien que j'ai manqué de temps à la fin, ce qui m'a fait un peu bacler la fin du document, et trancher un peu trop net mon avis (a.k.a. j'ai trollé à fond ; ces avis n'engagent que moi), je pense qu'il pourra peut être en intéresser certains.
https://x-cli.eu/secfiles/lamp.pdf
Cheers, Florian Maury _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/