Services et serveurs

Apache : Installation, configuration, sécurisation

Cet article a été mis à jour, vous consultez ici une archive de cet article!
Table des matières

Installation



Mageia



Se référer à l'article Installer LAMP sous Mageia

Configuration



Se référer à l'article Configurer les services LAMP




Les fichiers utilisés dans la suite



Suivant les distributions, les fichiers ne s'appellent pas pareil et ne se situent pas au même endroit.

Calculate Linux

Mageia

Ubuntu

Fichier de configuration Apache /etc/httpd/conf/httpd.conf /etc/apache2/modules.d/00_default_settings.conf <A renseigner>
Fichier de configuration PHP /etc/php.ini /etc/php/apache2-php5.4/php.ini


Sécurisation



Masquer les détails du serveur web



Pour des raisons de sécurité, il est nécessaire de masquer la version d'Apache (afin que l'éventuel pirate ne puisse pas identifier la version et donc d'exploiter les failles associées).

Ainsi, dans le fichier de configuration Apache, il faut modifier les valeurs:

Code TEXT :
ServerTokens Prod
ServerSignature Off


Nous pouvons masquer aussi la version de PHP utilisée modifiant le fichier php.ini

Code TEXT :
expose_php = Off



Se protéger contre les attaques DoS



On peut réduite le TimeOut d'apache à 60 secondes au lieu de 300 secondes:

Code TEXT :
Timeout 60


Mais aussi réduire le nombre de processus apache à lancer par le serveur

Code TEXT :
ServerLimit 64



Utiliser le module mod_security



ModSecurity est un module d'Apache spécialisé dans la sécurité. Il permet donc de sécuriser la couche applicative avant l'arrivée des requêtes sur le site hébergé sur l'Apache en question. Même s'il s'agit d'un module, ses fonctionnalités sont vastes et permettent de toucher à tous les points de sécurité nécessaire.


Installation sous Calculate



Code BASH :
emerge  www-apache/mod_security


Installation sous Mageia



Code BASH :
urpmi apache-mod_security


Installation sous Ubuntu



Code BASH :
apt-get install libapache-mod-security