Informations sécurité

From Dolibarr ERP CRM Wiki
Jump to navigation Jump to search

Securite.png Alertes

Voir la page Security information (en anglais) pour les dernières alertes de sécurité

Art.png Fonctionnalités de sécurité

Dolibarr intègre les mécanismes de sécurité suivant :


Chiffrement

  • Chiffrement des mots de passe utilisateurs en base [*7] [*8].
  • Chiffrement possible du mot de passe technique de la base de données dans le Fichier de configuration (conf.php) [*8].
  • Forçage du mode HTTPS [*9].


Hacks et cracks

  • Support du mode register_globals on ou off (off sérieusement recommandé) [*2].
  • Support du mode safe_mode on ou off de PHP (on recommandé) [*3].
  • Option de production pour inhiber toute remontée d'information technique comme débogage, info d'erreurs, info de version (Voir le Fichier de configuration) [*6].
  • Système de protection anti injection SQL [2*].
  • Système de protection anti injection XSS (Cross Site Scripting) [*1].
  • Système de protection anti injection SSRF
  • Système de protection anti CSRF (Cross Site Request Forgery) [*5]

Notez qu'il reste préférable d'ajouter aussi la protection côté serveur Web en désactivant l'option Apache 

AcceptPathInfo Off


Accès pages et fichiers

  • Pages et contenus protégées par un système centralisé de vérification des habilitations accordées aux groupes ou utilisateurs pour chaque module fonctionnel [*4] [*10].
  • Isolation des fichiers stockés par Dolibarr dans une arborescence différente de la racine web (donc non téléchargeable sans passer par le wrapper) [*3] [*10].
  • Système de protection anti scan dir (tout répertoire contient un fichier index pour limiter la visibilité si le serveur web a l'option "Indexes" active. Ne devrait pas) [*3].


Protection login

  • Retardateur anti brute force cracking sur la page de login [*7]. Actuellement ce délai est fixe (may pourra devenir exponentiel dans une version future).
  • Code graphique optionnel anti robot (CAPTCHA) sur la page de login [*7].
  • Restriction des accès au backoffice pour certaines IP uniquement [*7].
  • Aucun traçage de mot de passe dans les logs (ni techniques ni fonctionnelles) [*7].
  • Système d'audit interne pour journaliser de manière permanente les événements en rapport avec l'administration utilisateurs et les connexions en succès ou en échec.
  • Possibilité de tracer un enregistrement en fichier log (Le module Debug Log doit être activé avec au moins le niveau 5 - LOG_NOTICE) après un succès ou un échec de connexion ainsi vou spouvez ajouter une règle fail2ban pour bloquer les brute force cracking. Vous pouvez vérifier les enregistrements avec la syntax :
"YYYY-MM-DD HH:MM:SS (ERROR|NOTICE|INFO|DEBUG)    IP functions_dolibarr::check_user_password_.* Authentication KO"


Virus

  • Possibilité d'insérer un contrôle antivirus sur tout fichier téléversé (GNU/Linux uniquement) [*3].


Centre d'information Sécurité

  • A partir de la version 14, vous trouverez dans le menu Accueil - Outils d'administration - Sécurité, un centre d'information sur la sécurité vous rapporte toutes les recommandations faites et à faire liées à votre installation.


Une CTI pour la sécurité

Une plateforme d'intégration continue exécute des tests unitaires de sécurité et une analyse de code statique à chaque modification de code.


Une empreinte pour chaque version

Notre processus de publication apporte à chaque version un fichier d'empreinte (également disponible en ligne) pour valider tous les fichiers de votre installation locale.

Art.png Remonter une faille de sécurité

Pour remonter une vulnérabilité, voir le fichier: https://github.com/Dolibarr/dolibarr/blob/develop/SECURITY.md

Www.png Ouvrir l'accès à sa machine / son serveur local vers internet

Une installation chez un hébergeur (généraliste ou spécialisé dolibarr) donne accès à n'importe quelle machine reliée à internet, de manière sécurisée.

Si vous avez fait le choix d'installer dolibarr en local, sur votre machine : il est tout de même possible de partager dolibarr avec d'autres machines.

Deux cas sont à prendre en compte :

  • le partage local : seules les machines présentes physiquement sur le même réseau auront accès aux données par leur navigateur. Pour cela il suffit d'attribuer une IP fixe à la machine "serveur" et de paramétrer correctement les antivirus/firewall de cette machine. (ce forum ayant vocation à l'unique utilisation de dolibarr : il faudra vous documenter par vous même sur les paramétrages à mettre en place, ou demander de l'aide sur le forum). Les autres machines auront lors accès à dolibarr avec une adresses similaire à "http://192.168.1.148/xxxxx" où "xxxxxx" est potentiellement le sous répertoire dans le quel vous avez installé dolibarr)
  • le partage via internet : la procédure est identique au partage local, il vous faudra en plus :
    • paramétrer une redirection de port sur votre accès internet vers le "serveur". Cette ouverture de port n'est pas anodine d'un point de vue sécurité : formez vous correctement ou faites appel à un professionnel.
    • avoir une IP fixe de pour votre accès internet, ou une redirection DNS dynamique.

La solution idéale, restera de confier l'hébergement, la sécurité et les sauvegardes de votre dolibarr à un hébergeur professionnel...

Oui : cela à un coût... mais en regard du risque de "tout perdre", il est important de se poser la question !

NB : une installation locale avec des données existantes est très facilement migrable vers ce type d'hébergement.


(*X) Ce mécanisme répond à la criticité numéro X du classement Top Ten de l'OWASP.

Retrieved from "https://wiki.dolibarr.org/index.php?title=Informations_sécurité&oldid=59496"