Services et serveurs

Apache : Installation, configuration, sécurisation

Cet article a été mis à jour, vous consultez ici une archive de cet article!
Table des matières

Installation


Mageia


Se référer à l'article Installer LAMP sous Mageia

Configuration


Se référer à l'article Configurer les services LAMP




Les fichiers utilisés dans la suite


Suivant les distributions, les fichiers ne s'appellent pas pareil et ne se situent pas au même endroit.

Gentoo

Mageia

Ubuntu

Fichier de configuration Apache /etc/httpd/conf/httpd.conf /etc/apache2/modules.d/00_default_settings.conf <A renseigner>
Fichier de configuration PHP /etc/php.ini /etc/php/apache2-php5.4/php.ini


Sécurisation


Masquer les détails du serveur web


Pour des raisons de sécurité, il est nécessaire de masquer la version d'Apache (afin que l'éventuel pirate ne puisse pas identifier la version et donc d'exploiter les failles associées).

Ainsi, dans le fichier de configuration Apache, il faut modifier les valeurs:

Code TEXT :
ServerTokens Prod
ServerSignature Off


Nous pouvons masquer aussi la version de PHP utilisée modifiant le fichier php.ini

Code TEXT :
expose_php = Off



Se protéger contre les attaques DoS


On peut réduite le TimeOut d'apache à 60 secondes au lieu de 300 secondes:

Code TEXT :
Timeout 60


Mais aussi réduire le nombre de processus apache à lancer par le serveur

Code TEXT :
ServerLimit 64



Utiliser le module mod_security


ModSecurity est un module d'Apache spécialisé dans la sécurité. Il permet donc de sécuriser la couche applicative avant l'arrivée des requêtes sur le site hébergé sur l'Apache en question. Même s'il s'agit d'un module, ses fonctionnalités sont vastes et permettent de toucher à tous les points de sécurité nécessaire.


Installation sous Gentoo


Code BASH :
emerge  www-apache/mod_security


Installation sous Mageia


Code BASH :
urpmi apache-mod_security


Installation sous Ubuntu


Code BASH :
apt-get install libapache-mod-security