Re: Message alarmant serveur Web Apache2
> Merci, ces liens indiquent qu'il ne faut pas trop s'alarmer ...
> Sans doute la présence des CMS "Wordpress" et "phpBB"
> en sont pour quelque chose, surtout ce dernier réputé
> pour son insécurité.
> andré
> Je trouve ces deux phrases un peu paradoxales…
> Soit tu te préoccupes de la sécurité de ta machine, soit tu y laisses installé
> un outil « réputé pour son insécurité »…
> Seb
> Le mardi 29 octobre 2013 à 22:30, andre_debian@numericable.fr a écrit :
> > Il n'y a pas de paradoxes :
> > Il faut bien savoir si c'est le serveur intrinsèquement qui manque de
> > sécurité et/ou à cause de la présence d'un CMS réputé insécurisé.
On Wednesday 30 October 2013 11:20:31 Sébastien NOBILI wrote:
> Et maintenant que tu sais, tu dors mieux ?
> Pourtant ton serveur reste une passoire potentielle…
> Je maintiens que la sécurité, soit on s'en préoccupe, soit on s'en fout,
> mais qu'il n'y a pas de « J'ai peur que mon serveur ne soit pas sécurisé…
> Ah ouf, tout va bien, il ne l'est pas mais tout le monde le sait ! »
> Seb
Voilà deux réponse bien inutiles =répondre pour répondre
et en plus agressives.
Il est important de savoir, avant de blinder le serveur,
quelles seraient ses faiblesses.
> Et maintenant que tu sais, tu dors mieux ? :
1] Merci, je dors très bien.
Je ne sais pas : faut-il incriminer le serveur en lui même
ou la présence d'un CMS ?
> Pourtant ton serveur reste une passoire potentielle… :
2] Je m'en occupe pour qu'il ne soit pas "une passoire potentielle..."
> Je maintiens que la sécurité, soit on s'en préoccupe, soit on s'en fout
3] Je m'en préoccupe : la preuve ...
> mais qu'il n'y a pas de « J'ai peur que mon serveur ne soit pas sécurisé… :
4] Oui, bien sûr, je le crains et je ne dis pas que tout va bien.
> Ah ouf, tout va bien, il ne l'est pas mais tout le monde le sait ! :
5] Mais tout le monde sait quoi ?
Personne ne connait l'adresse Web de ce serveur.
Depuis la désinstallation d'un CMS, le message alarmant du "logwatch" a disparu,
ce qui ne m'empêche pas de blinder en même temps le serveur
(firewall iptables, failban, hosts.conf, sshd_config, empêcher réinjection de codes (sql, php) etc ...)
et de rester vigilant.
Le sujet est clos.
andré
Reply to: