Question sur le durcissement de la sécurité / Security hardening questions

Mon serveur YunoHost

Matériel: Scaleway VPS
Version de YunoHost: 3.6.4.6
J’ai accès à mon serveur : SSH + webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modifications particulières sur votre instance ? : non

Description du problème

Bonjour à tous,
Je travaille sur le durcissement de la sécurité de mon système. J’utilise l’outil Lynis pour évaluer les points de faiblesses. Pouvez-vous me donner votre avis sur ces sujets, est-ce que suivre ces recommendations risque de compromettre le fonctionnement de yunohost ? ou ses mises à jour futuress :

• MongoDB instance allows any user to access databases [DBS-1820]
  https://cisofy.com/lynis/controls/DBS-1820/
• Configure the ‘requirepass’ setting for Redis [DBS-1884]
  • Details : /etc/redis/redis.conf
  • Solution : configure ‘requirepass’ setting in /etc/redis/redis.conf
    https://cisofy.com/lynis/controls/DBS-1884/
• Use the ‘rename-command CONFIG’ setting for Redis [DBS-1886]
  • Details : /etc/redis/redis.conf
  • Solution : configure ‘rename-command CONFIG’ in /etc/redis/redis.conf
    https://cisofy.com/lynis/controls/DBS-1886/
• Turn off PHP information exposure [PHP-2372]
  • Details : expose_php = Off
    https://cisofy.com/lynis/controls/PHP-2372/
• Change the allow_url_fopen line to: allow_url_fopen = Off, to disable downloads via PHP [PHP-2376]
  https://cisofy.com/lynis/controls/PHP-2376/

Merci

/ My YunoHost server

Hardware: Scaleway VPS
YunoHost version: 3.6.4.6
I have access to my server : SSH + webadmin
Are you in a special context or did you perform some particular tweaking on your YunoHost instance ? : no

Description of my issue

Good morning, everyone,
I am working on hardening the security of my system. I use the Lynis tool to assess weaknesses. Can you give me your opinion on these topics, will following these recommendations compromise the functioning of yunohost? or its future updates?

• MongoDB instance allows any user to access databases [DBS-1820]
  https://cisofy.com/lynis/controls/DBS-1820/
• Configure the ‘requirepass’ setting for Redis [DBS-1884]
  • Details : /etc/redis/redis.conf
  • Solution : configure ‘requirepass’ setting in /etc/redis/redis.conf
    https://cisofy.com/lynis/controls/DBS-1884/
• Use the ‘rename-command CONFIG’ setting for Redis [DBS-1886]
  • Details : /etc/redis/redis.conf
  • Solution : configure ‘rename-command CONFIG’ in /etc/redis/redis.conf
    https://cisofy.com/lynis/controls/DBS-1886/
• Turn off PHP information exposure [PHP-2372]
  • Details : expose_php = Off
    https://cisofy.com/lynis/controls/PHP-2372/
• Change the allow_url_fopen line to: allow_url_fopen = Off, to disable downloads via PHP [PHP-2376]
  https://cisofy.com/lynis/controls/PHP-2376/

Thanks,

M

Pour info, j’ai également fermé les ports 22000 et 5269 qui semblent ne jamais avoir servi jusqu’à present.

image.png1091×494 16 KB

Bonjour,
As-tu regardé ce pentest de Yunohost : sujet ?

Non, je regarde si je peux y trouver mes réponses et vous fait un retour. Merci

L’idéal serait de faire des PR sur yunohost…

Pour mongodb il faudrait dans ce cas adapter l’app qui l’utilise et aucune install d’une app nécessitant mongodb ne fonctionnera après. Idem pour redis.

Pour expose_php et allow_url_fopen je pense qu’il n’y a pas trop de risque, mais il faudra penser à mettre à jour la config php manuellement à chaque fois que yunohost est censé modifier ces configurations.

Bref, pour php, le mieux c’est de proposer des PR sur les fichiers qui vont, bien comme ça si y a pas de soucis particuliers tu n’aura spa sà le gérer à la main plus tard… https://github.com/YunoHost/yunohost/tree/stretch-unstable/data/templates

Pour redis je sais pas.

Pour mongodb, ça demande de revoir un certains nombre d’app!

Merci bcp pour ces réponses, je n’en ai jamais fait je vais regarder. Sinon coté config, je suis déjà en dehors des clous car j ai deux grav qui tournent sur php 7.3.

Petit update, j’ai désactivé expose_php, pour le moment tout fonctionne. Ca me semble correct.

Effectivement desactivé expose php et url fopen n a pas posé de probeleme.

Ok j’ai pas mal avancé, je pense faire un article résumant l’ensemble des mesures deployes pour durcir la sécurité du système. Rien d’extraordinaire, la base étant deja assez robuste. J’arrive à un score de Lynis de 87% en occultant Mongodb. On doit pouvoir faire mieux mais c’est deja pas mal. Est-ce que c’est qqch qui peut vs intéresser ?

Quel était le score avant les modifications ?

Oui c’est toujours intéressant.

Je suis parti de 62% mais sans la config ssh de yunohost connexion par certificat uniquement. Donc je dirais moins de 60% avec une fresh install et un yunohost de base. L’indicateur est tres sympa, il passe au vert à partir de 80%.
Sinon, l’article pour découvrir l outil d’evaluation que j’ai utilisé est sur mon blog :
https://www.fabricedelor.fr/fr/blog/unix-security-audit
Je vous prepare un article sur le hardening et l’ensemble des settings que j’ai du réaliser pour la semaine prochaine.

Merci pour la découverte de cet outil.
Pour que l’on puisse aider, il faudrait également connaitre les applications yunohost qui ont été mises en place qui exploitent redis, mongodb, etc pour essayer de mettre en place des correctifs.

Bonjour,

Il faudrait faire remonter auprès des packageurs d’applications Yunohost voir si ces paramètres sont utilisés et proposer un patch.
C’est du boulot tout ça

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.