Demande conseils de sécurité lors de l'instalation d'un site

[Emm']

Bonjour,

 

Je m'apprete à faire la bascule !

J'ai lu un tuto pour l'opération de transfert elle-même : ça ne m'a pas l'air à prioiri compliqué.

 

Seulement, en entendant parler de hacker, j'ai pas envie d'abîmer mon début de travail !

J'ai entendu parler de .htaccess, de free (mon hébergeur), qui ne peut pas être chmoder, et qui n'indique rien à propos de process d'authentification.

 

Alors je viens solliciter votre expérience & vos conceils !

 

Quels logiciels j'utilise :

OS : Linux Ubuntu (Dapper 64)

CMS : Guppy

Serveur local : Apache2

Log de transfert : gFPT

Navigateur : Firefox

 

Merci !!

Modifié le 24 août 2006 par Emm'

[odSen]

Salut Emm'

 

J'ai entendu parler de .htaccess, de free (mon hébergeur), qui ne peut pas être chmoder, et qui n'indique rien à propos de process d'authentification.

Un fichier .htaccess, c'est uniquement utile si tu veux protéger un dossier de ton site une fois mis en ligne sur le serveur. (Exemple : tu as des pages web en ligne pour l'administration de ton site et tu ne veux pas que les visiteurs puissent y accéder, tu places donc ces pages dans un dossier dont tu protèges l'accès par un fichier .htaccess)

Le problème avec les .htaccess chez free, c'est que tu n'as pas le droit de crypter ton mot de passe dans ce fichier. Il est donc lisible et c'est super nul pour la sécurité.

 

Mais il faudrait que tu indiques quelques renseignements sur ton site :

Comment sont organisés les dossiers et les fichiers ?

Utilises-tu PHP ? (ce sont nottament les erreurs de programmation PHP qui permettent un hacking du site)

As-tu des besoins particuliers ?

Modifié le 22 août 2006 par odSen

[Emm']

Salut Odsen,

ça fait plaisir !

 

Guppy est un CMS qui ne nécéssite aucune connaissance en PHP, qui convertit tout seul. Mais oui, il utilise ce langage. Apparament, les développeurs du site comblent au fil des MAJ les failles de sécu.

 

J'ai copié l'ensemble des fichiers & repertoires du repertoire (en local) qui concerne le site, j'éspère que ça répond au moins en partie à ta question sur l'organisation du site :

/var/www/admin
/var/www/data
/var/www/file
/var/www/img
/var/www/inc
/var/www/install
/var/www/mobile
/var/www/pages
/var/www/photo
/var/www/phpinfo.php
/var/www/plugins
/var/www/agenda.php
/var/www/articles.php
/var/www/compte.php
/var/www/copyright-en.htm
/var/www/copyright-fr.htm
/var/www/download.php
/var/www/dwnld.php
/var/www/error.php

Si tu as besoin de + de données sur le contenu de certains (ou tout les) repertoires, je les post.

 

Une fois dans le site, il y a un onglet admin, qui me permet de transformer ce que je veux dedans. Je pense que c'est via le repertoir admin.

J'ai aussi besoin de pouvoir acceder à d'autre répertoires : img, pour ajouter de nouvelles images, inc, si je veux relooker le sit un jour, et peut-être d'autres si je veux ajouter des fonctionnalitées (téléchargements...).

Mes besoins sont d'avoir accès au site pour le faire évoluer & que n'importe qui ne vienne pas faire n'importe quoi !

 

J'éspère que je m'exprime de façon compréhensible !

A+

[odSen]

Guppy est un CMS qui ne nécéssite aucune connaissance en PHP, qui convertit tout seul. Mais oui, il utilise ce langage. Apparament, les développeurs du site comblent au fil des MAJ les failles de sécu.

D'accord. Donc si le projet est suivi, il ne devrait pas y avoir trop de soucis

 

Une fois dans le site, il y a un onglet admin, qui me permet de transformer ce que je veux dedans. Je pense que c'est via le repertoir admin.

C'est ce dossier qu'il faudra protéger par un fichier .htaccess

C'est embêtant que free ne veuille pas de mots de passes cryptés.

As-tu pensé à l'offre gratuite d'hébergement de OVH ?

http://www.ovh.com/fr/produits/demo1g.xml

 

J'ai aussi besoin de pouvoir acceder à d'autre répertoires : img, pour ajouter de nouvelles images, inc, si je veux relooker le sit un jour, et peut-être d'autres si je veux ajouter des fonctionnalitées (téléchargements...).

Ca, pas de soucis. Tu pourras le faire via ton client FTP.

 

Dernière chose : pense aussi à choisir un bon mot de passe pour ton compte FTP. C'est essentiel.

Si tu n'as pas d'idées, regarde ici : https://www.grc.com/passwords.htm

 

Si tu as d'autres questions...

 

Attend aussi l'avis des autres membres, j'oublie peut-être des choses.

[Emm']

Merci Odsen,

 

Tu es chez free, toi, tu as une autre stratégie de sécu ?

 

L'accueil de Ovh, section démo (offre gratuite) est un peu du charabia pour moi

Espace disque		   	  1 Go
Trafic web 						 Illimité
Comptes email de 2 Go	  A partir de Start
Alias emails 	A partir de Start
Redirections emails 	A partir de Start
Listes de diffusion 	A partir de Plan
Langages de script (PHP...) 	Oui
Bases MySQL 	1
La gestion des domaines
Adresse : votre-site.ovh.org
Domaine personnalisable 	A partir de Start
Domaines inclus ( FreeDom ) 	A partir de Plan
Hébergement multi domaines 	A partir de Plan
Services inclus
Espace Streaming 	A partir de Plan
Haute Disponilité 	Oui
Statistiques détaillées 	A partir de Start
Interface de gestion (Manager) 	Oui
Option haute sécurité 	A partir de GP
Support commercial et technique 	A partir de Start
Géolocalisation IP 	A partir de Plan
Multi FTP 	A partir de Plan
FTP Anonyme 	A partir de Plan
Accès FTP privé 	Oui
SSL Mutualisé 	A partir de Plan
Accès ssh 	A partir de Plan

 

A partir de plan, de start, de GP ??

Je suppose que la plupart de ses service me concernent pas trop, que j'ai besoin de quelquechose de basique.

Quelqu'un parmis vous utilise Ovh ?

 

Apparement, le portail Guppy a un htaccess natif intégrer, mais les liens à son propos sont actuellement desactivés, j'ai posté quelquechose à ce propos sur le forum du site Guppy.

[tesgaz]

Salut,

 

j'utilise le service gratuit d'ovh

 

l'avantage par rapport à free

 

- modification des chmod sur les dossiers ou sur les fichiers

- possibilité de crypter les mots de passe

- 3 mots de passe distinct entre : mysql, FTP et le NIC

- on peut aller jusqu'à 12 caracteres alphanumérique au lieu de 8 pour free, en melangeant, majuscule et minuscule (pas possible sur free) dommage que l'on ne puisse pas mettre d'autres carractères !

- pas d'engorgement des bases mysql ( sur free, c'est frequent) donc, avantage trés rapide et fluide pour un forum

 

inconvénient identique à free :

- hebergement mutualisé

- pas de possibilité de toucher aux fichiers de configuration pour : apache, mysql, php

- même login que le nom du site pour le ftp, phpmyadmin

 

 

 

voila, c'est tout

 

pour le defacage de n'importe quel site, malheureusement, on est tributaire du ftp, c'est le plus simple à hacker avec les outils facile à trouver sur internet, après, c'est en fonction de ton site qui dérange ou pas, ou que tu t'es fait des ennemis virtuels qui ne t'aiment pas

Modifié le 23 août 2006 par speedweb1

[Emm']

Merci !

Quelques précision pour le novice qui apprend stp !

 

- hebergement mutualisé : quel en est la limite ?

- pas de possibilité de toucher aux fichiers de configuration pour : apache, mysql, php : quelles conséquences pour un CMS type guppy ?

 

Qu'est le NIC ?

 

Vu ce que j'utilise (Guppy), je nai pas de base mysql.

A priori je n'ai pas besoin d'avoir accès à PHP admin.

Mon site est simple, je n'y ai pas de forum : présentation de mon assoc' , photos, logos, textes, liens, contacts.

 

Je n'ai pas tout compris par rapport aux chmods chez l'hébergeur.

J'ai du regler (avec Greywolf) surtout les chowns pour que le logiciel fonctionne en local sur apache2.

Est-ce que ce que je vais "exporter" chez le serveur est à priori configuré comme dans ma machiine = rien à toucher ?

Ou en installant, il faut que je config tout cela ?

 

Je ne pense pas avoir (encore) d'ennemis si méchant que ça !

[Emm']

Que pensez vous de ceci :

http://www.toulouse-renaissance.net/c_outi...sswd.htm#retour

& cela :

http://www.toulouse-renaissance.net/c_outi...ur_htaccess.htm

?