[FRsAG] Serveur compromis, et après ?

Dominique Rousseau d.rousseau at nnx.com
Lun 28 Juil 10:59:26 CEST 2014


Le Mon, Jul 28, 2014 at 10:47:11AM +0200, Alexandre Legrix [alex at bragonux.net] a écrit:
[...]
> Le fait de maintenir des scripts php opensource a jour que tu ne
> déploies pas toi même a toujours été le gros soucis de notre métier.
> 
> L'adminsys doit s'assurer que le serveur ne peut pas se faire trouer.
> 
> (je prends wordpress en exemple, mais vous pouvez remplacer ca par
> n'importe quel projet opensource, ca peut être phpmyadmin, qui a la
> palme d'or du trouage)

Meme pas besoin de restreindre a "projet opensource".
J'ai vu aussi plein de trucs mal foutus se faire compromettre aussi.
Même si c'est plutot moins courant que de voir passer des bots/rootkits
qui ciblent des failles repandues dans Joomla/Wordpres/etc.

[...]

> Ca s'appelle chroot() + php-fpm + nginx. Le script php ne sera executé
> qu'avec les droits de l'utilisateur spécifique de ce vhost, et ne pourra
> pas sortir de sa prison.

Apache, mpm-itk, open_basedir ;-)

Limiter les accès "réseau" en sortie, ça peut permettre de restreindre
les effets (par exemple un bot de DDOS ne pourra pas faire de degat).
Passer les mails sortant de PHP via mail() dans un wrapper, qui permette
de tracer d'où un mail sortant est envoyé, pour identifier l'origine
d'un spamotron, aussi



-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 80000 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


Plus d'informations sur la liste de diffusion FRsAG