Penser à modifier votre MaxClients (150 -> 800 par exemple : à voir selon la capacité de votre serveur) et pour les sites avec très peu de contenu statiques on désactive KeepAlive

Modifier le fichier logrotate.conf et mettre daily au lieu de weekly et rotate 2 au lieu de 4 (on ne garde les logs que sur 2 semaines et non 4)

Pour éviter les problèmes de compatibilités entre Debian 32 et 64 :

apt-get intall ia32-libs

Il m’arrive souvent que PECL ne fonctionne pas à cause du phpize malgré le php5-dev, voici la solution que je préconise :

wget http://pecl.php.net/get/monExtension.tgz

tar zxvf monExtension.tgz

cd monExtension

phpize

./configure

make

make install

/usr/local/psa/admin/bin/keymng –install –source-file=/usr/local/psa/tmp/psa.key

Penser à ouvrir les ports de votre firewall pour Plesk

iptables -t filter -A OUTPUT -d ka.swsoft.com -p tcp --dport 5224 -j ACCEPT
iptables -t filter -A INPUT -d ka.swsoft.com -p tcp --dport 5224 -j ACCEPT

On se rend compte de plusieurs dès lors où on a un peu d’expérience dans le domaine du Web : personne n’est protégé du serveur à l’application Web, tout ce qui fonctionne ne rime pas forcément avec protection.

C’est d’autant plus vrai qu’il n’existe pas de méthode pour rendre son serveur 100% protégé dans le temps. Toutefois, je vais tâcher de vous proposer un certains nombre d’actions qui devrait limiter au maximum ce genre de menace.

Commençons par le commencement

1. On va auditer votre configuration php grâce à phpsecinfo
2. On va auditer le serveur avec rkhunter : apt-get install rkhunter (tout simplement pour l’installer) et pour éxécuter un audit il suffit de taper : rkhunter
3. Vérifier la version de votre kernel : uname -r > 2.6.24.1
4. Vérifier également avec la commandes history (que c’est bien vous qui avez rentré les dernière commandes ssh)
5. Pour éviter les attaques Brutes Force on va modifier le port par défaut de SSH et ne plus autoriser à se connecter avec le root (plus d’informations ici)
1. adduser yourusername
2. Dans le fichier /etc/ssh/sshd_config, on modifie PermitRootLogin yes en PermitRootLogin no
6. On installe fail2ban
7. On installe mod_security pour Apache2

Bien entendu je rappelle des choses élémentaires :

1. Éviter les mots de passe courts et trop simple (pour éviter de rentrer dans le cas d’une attaque par dictionnaire)
2. Veuillez à mettre des mots de passe différents pour chacun des comptes : FTP, SSH, SQL, etc…
3. Veuillez à ne pas communiquer les codes root ou les laisser à la portée de n’importe qui
4. Pour SQL, créer des utilisateurs sur mesure par rapport a votre besoin (SELECT, UPDATE, INSERT)

Apache - Address already in use: make_sock: could not bind to address

08/06/2005 This error message can be caused by an improper shut down, the apache processes are still hanging around and apachectl restart won’t work.

Solution

just kill off the hanging processes:
# fuser 80/tcp
80/tcp: 3010 3702 4088 16754
# kill -n 9 3010
# kill -n 9 3702
# kill -n 9 4088
# kill -n 9 16754
# apachectl start

or if there’s loads of processes use
#for i in $(fuser 80/tcp);do kill -n 9 $i;done
to kill them all off

Vous cherchez un logiciel pour développer des applications Web sous Linux qui soit gratuit et open source ?
Ne cherchez plus ! En effet, Quanta + est fait pour vous !

Il apporte tout ce que recherche un développeur Web :

• Coloration syntaxique
• Complétion automatique de balises, de fonctions et de variables
• Gestion de projets
• Gestion de CVS,
• Gestion FTP, SSH, …
• et même debuggage !

Je mets à disposition un tutorial que j’ai trouvé pour utiliser le debuggage avec Quanta + et Gubed : http://www.very-clever.com/quanta-gubed-debugging.php

Retrouvez l’ensemble des informations utiles pour ce logiciel ici : http://doc.ubuntu-fr.org/quanta

Je vais vous donner une astuce (http://doc.ubuntu-fr.org/amsn) qui vous permettra de profiter de MSN sur Linux (dans notre cas Debian et Ubuntu), et d’avoir un confort d’utilisation optimum !

En effet, quand on installe aMSN (client MSN sous Linux et Windows d’ailleur !) par le biais de Synaptic on a le regrettable suprise de voir un aMSN aliasé au possible !

Pour éviter cela il vous suffit de l’installer de la manière suivante :

sudo apt-get install tcltls && mkdir ~/aMSN && cd ~/aMSN/ && wget -Y off http://download.tuxfamily.org/amsnskins/packages/ubuntu/amsn-releases/amsn_0.97sapphireR1-0ubuntu1_i386.deb && wget -Y off http://download.tuxfamily.org/amsnskins/packages/ubuntu/tcl-tk/tcl8.5_8.5-0ubuntu1_i386.deb && wget -Y off http://download.tuxfamily.org/amsnskins/packages/ubuntu/tcl-tk/tk8.5_8.5-0ubuntu1_i386.deb && sudo dpkg -i *.deb

Après avoir installé notre serveur Web avec Php 5.2, Plesk 8.3 et PDO et avoir rajouté les patchs de sécurité et le Zend Optimizer

On va faire un audit de sécurité de notre serveur avec Nessus qui est disponible depuis l’interface d’administration de votre Dedibox.

On va commencer par voir quels sont les ports ouverts :

• ftp (21/tcp)
• ssh (22/tcp)
• smtp (25/tcp)
• domain (53/tcp)
• www (80/tcp)
• unknown (106/tcp)
• pop3 (110/tcp)
• sunrpc (111/tcp)
• auth (113/tcp)
• netbios-ssn (139/tcp)
• imap2 (143/tcp)
• https (443/tcp)
• microsoft-ds (445/tcp)
• unknown (465/tcp)
• imaps (993/tcp)
• pop3s (995/tcp)
• mysql (3306/tcp)
• unknown (8443/tcp)
• unknown (8880/tcp)
• ntp (123/udp)
• general/tcp

On se rend compte qu’il y en a beaucoup !

Voyons de plus prêt qu’elles sont les applications ou service qui les ouvrent

Pour se faire exécutons la commande suivante pour le port 80 :

netstat -tulpn| grep :80

Dans le cas où il s’agit d’un processus non souhaité on va le “tuer” (on fera de même pour les différents ports):

killall -9 httpd

Pour sécuriser apache on va modifier la valeur ServerTokens du fichier de configuration d’apache de la manière suivante  :

ServerTokens Prod

Nous allons désactiver la Method TRACE soit par htaccess soit directement dans le VirtualHost:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ˆ(TRACE|TRACK)
RewriteRule .* - [F]

wget http://downloads.zend.com/optimizer/3.3.0a/ZendOptimizer-3.3.0a-linux-glibc21-i386.tar.gz
tar zxvf ZendOptimizer-3.3.0a-linux-glibc21-i386.tar.gz
cd ZendOptimizer-3.3.0a-linux-glibc21-i386
./install.sh

Vous pouvez rencontrer un problème avec Zend Optimizer et le ionCube Loader (cf. /var/log/apache2/error.log):

PHP Fatal error:  [ionCube Loader] The Loader must appear as the first entry in the php.ini file in Unknown on line 0

C’est très simple à corriger :
On va tout d’abord dans /etc/php5/conf.d/ioncube-loader.ini et on commente l’intégralité des lignes présentes

On va ensuite dans le fichier /etc/php5/apache2/php.ini, on l’on va copier l’intégralité du contenu du fichier ioncube-loader.ini après la balise [Zend], de cette manière :

[Zend]
zend_extension=/usr/lib/php5/ioncube_loader_lin_5.2.so

On redémarre apache et c’est fini