[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Message alarmant serveur Web Apache2

> Merci, ces liens indiquent qu'il ne faut pas trop s'alarmer ...
> Sans doute la présence des CMS "Wordpress" et "phpBB"
> en sont pour quelque chose, surtout ce dernier réputé
> pour son insécurité.
> andré

> Je trouve ces deux phrases un peu paradoxales…
> Soit tu te préoccupes de la sécurité de ta machine, soit tu y laisses installé
> un outil « réputé pour son insécurité »…
> Seb

> Le mardi 29 octobre 2013 à 22:30, andre_debian@numericable.fr a écrit :
> > Il n'y a pas de paradoxes :
> > Il faut bien savoir si c'est le serveur intrinsèquement qui manque de
> > sécurité et/ou à cause de la présence d'un CMS réputé insécurisé.

On Wednesday 30 October 2013 11:20:31 Sébastien NOBILI wrote:
> Et maintenant que tu sais, tu dors mieux ?
> Pourtant ton serveur reste une passoire potentielle…
> Je maintiens que la sécurité, soit on s'en préoccupe, soit on s'en fout,
> mais qu'il n'y a pas de « J'ai peur que mon serveur ne soit pas sécurisé…
> Ah ouf, tout va bien, il ne l'est pas mais tout le monde le sait ! »
> Seb

Voilà deux réponse bien inutiles =répondre pour répondre
et en plus agressives.

Il est important de savoir, avant de blinder le serveur,
quelles seraient ses faiblesses.

> Et maintenant que tu sais, tu dors mieux ? :
1] Merci, je dors très bien.
Je ne sais pas : faut-il incriminer le serveur en lui même
ou la présence d'un CMS ?

> Pourtant ton serveur reste une passoire potentielle… :
2] Je m'en occupe pour qu'il ne soit pas "une passoire potentielle..."

> Je maintiens que la sécurité, soit on s'en préoccupe, soit on s'en fout
3] Je m'en préoccupe : la preuve ...

> mais qu'il n'y a pas de « J'ai peur que mon serveur ne soit pas sécurisé… :
4] Oui, bien sûr, je le crains et je ne dis pas que tout va bien.

> Ah ouf, tout va bien, il ne l'est pas mais tout le monde le sait ! :
5] Mais tout le monde sait quoi ?
Personne ne connait l'adresse Web de ce serveur.

Depuis la désinstallation d'un CMS, le message alarmant du "logwatch" a disparu,
ce qui ne m'empêche pas de blinder en même temps le serveur 
(firewall iptables, failban, hosts.conf, sshd_config, empêcher réinjection de codes (sql, php) etc ...)
et de rester vigilant.

Le sujet est clos.

andré
Reply to: