4.1. Système d'exploitation

4.1.1. Ports TCP/IP

Le standard TCP/IP définit plus de 65000 ports pour l'envoi et la réception du trafic. Parmi ceux-ci, Bugzilla n'a besoin que d'un seul pour fonctionner (différentes configurations et options peuvent en nécessiter jusqu'à trois). Vous devez faire un audit sur votre serveur et vous assurez que vous n'êtes pas en train d'écouter des ports dont vous n'avez pas besoin. Il est aussi fortement recommandé que le serveur sur lequel se trouve Bugzilla, de même que toute autre machine que vous administrez, soient placés derrière un pare-feu.

4.1.2. Comptes utilisateur système

Beaucoup de démons, tels que httpd d'Apache ou mysqld de MySQL fonctionnent en tant que « root » ou « nobody ». C'est encore pire sur les machines Windows où la majorité des services focntionne en tant que « SYSTEM ». L'exécution en « root » ou « SYSTEM » introduit des inquiétudes évidentes quant à la sécurité, les problèmes introduits par l'exécution de tout en tant que « nobody » peuvent ne pas être si évidents. Grossièrement, si vous exécutez tous les démons en tant que « nobody » et que l'un d'entre eux est compromis, il peut compromettre tout autre démon exécuté en tant que « nobody » sur votre machine. Pour cette raison, il est recommandé de créer un compte utilisateur par démon.

Note

Vous aurez besoin de définir l'option webservergroup dans le fichier localconfig pour le groupe avec lequel votre serveur Web s'exécute. Cela permettra au script ./checksetup.pl de définir les permissions de fichiers sur les systèmes Unix de sorte que rien ne soit accessible en écriture pour tout le monde.

4.1.3. La prison chroot

Si votre système le gère, vous devriez considérer de faire fonctionner Bugzilla dans une prison chroot. Cette option fournit une sécurité sans précédent en empêchant tout ce qui s'exécute à l'intérieur de la prison d'accéder à toute information en dehors de celle-ci. Si vous souhaitez utiliser cette option, veuillez consulter la documentation livrée avec votre système.