problème de sécurité – user qui exécute Apache

[epep]

Bonjour,

Sur World l’utilisateur qui exécute Apache est le même que l’utilisateur qui détient les données de l’hébergement.

C’est un sérieux problème de sécurité, en cas de faille d’un CMS, un visiteur pourrait injecter un code qui donnerait accès en écriture à l’ensemble des fichiers de l’hébergement.

Normalement apache est exécuté par un utilisateur dédié, par exemple www-data, et le webmaster met les fichiers du site accessibles au groupe www-data, tout en en restant propriétaire, ce qui permet un réglage fin des permissions, et limite les catastrophes en cas de pépin.

Enfin je ne sais pas trop si c’est à moi d’expliquer cela, je suis ouvrier du bâtiment hein, mais concrètement si PlanetHoster n’apporte pas rapidement une solution je ne mettrais pas longtemps à aller voir si la concurrence propose une solution mieux sécurisée.

 

[alexonbstudio]

bj, tiens je te recommande ce fichier https://github.com/h5bp/server-configs-apache/blob/main/dist/.htaccess

 

[epep]

Oui le fichier .htaccess aussi, comme Apache a les droits d’écriture dessus on n’est pas à l’abri qu’une sournoise injection de code permette de le modifier.

 

[PH-Marc-André.B.]

Bonjour,

Merci de nous avoir partagé vos préoccupations concernant la sécurité de nos infrastructures World / N0C. Nous comprenons l'importance de la sécurité de vos données et nous tenons à vous assurer que nous prenons cette question très au sérieux. Nous avons déployé des mécanismes de protection sur toutes les facettes de notre réseau, de part et d'autre: de notre centre de données avec des pare-feu matériels sophistiqués jusqu'à la protection WAF juste devant le serveur. Sans compter que notre équipe technique surveille l'état de l'ensemble de nos infrastructures par la vigilence humaine, ce 24/7 et 365 jours par année afin de pouvoir intervenir s'il se produisait quoi que ce soit.

Tout d'abord, je tiens à vous expliquer en quoi notre approche de sécurité diffère de la configuration standard recommandée. Sur nos infrastructures, nous utilisons le gestionnaire de processus PHP LSAPI, qui mappe les processus Apache à l'utilisateur Linux. Cette approche est principalement mise en place pour prendre en charge nos services d'hébergement mutualisé. Cependant, nous comprenons que cela puisse susciter des inquiétudes concernant la sécurité.

Pour contrer ces préoccupations, nous avons mis en place des mécanismes de protection robustes, notamment CageFS. CageFS isole chaque compte d'hébergement dans un environnement virtuel sécurisé, ce qui signifie que même en cas de faille potentielle dans un CMS, l'intrusion serait limitée au compte d'hébergement concerné. Cela empêche toute propagation à d'autres comptes sur le serveur.

En ce qui concerne l'exécution d'Apache par l'utilisateur détenteur des données de l'hébergement, nous avons mis en place des mesures de sécurité pour minimiser les risques. Bien que la configuration standard suggère l'utilisation d'un utilisateur dédié tel que www-data, notre approche vise à fournir une isolation efficace entre les comptes d'hébergement.

De plus la protection WAF que nous vous offrons est redoutablement efficace pour filtrer des requêtes malveillantes. Cette protection là est offerte en option chez la plupart des offres de la concurrence et c'est 100% gratuit pour tous les clients de PlanetHoster.

Nous comprenons que la sécurité est une préoccupation essentielle, et nous travaillons en permanence à améliorer nos mesures de protection. Vos commentaires sont précieux, et nous prenons en compte vos préoccupations pour renforcer la sécurité de notre plateforme.

Il est possible de nous partager vos suggestion directement à nos développeurs et administrateurs sur le site suivant: https://features.planethoster.com

Si vous avez d'autres questions ou préoccupations, n'hésitez pas à nous contacter. Nous sommes là pour vous aider et pour garantir la sécurité de vos données. Nos clients peuvent créer des billets en tout temps depuis la section Mon support de leur espace client et notre soutien est 100% gratuit


Nous vous remercions de votre confiance envers PlanetHoster, et nous sommes déterminés à fournir un service d'hébergement sécurisé et fiable.