{"id":920,"date":"2022-05-16T00:11:50","date_gmt":"2022-05-15T22:11:50","guid":{"rendered":"https:\/\/techtocraft.xyz\/?p=920"},"modified":"2022-09-11T17:13:35","modified_gmt":"2022-09-11T15:13:35","slug":"debian-securiser-apache","status":"publish","type":"post","link":"https:\/\/hinakuu.xyz\/?p=920","title":{"rendered":"Debian S\u00e9curiser Apache Web Serveur"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

Un serveur Web peut \u00eatre source de graves probl\u00e8mes de s\u00e9curit\u00e9 si vous n’y prenez pas garde…<\/p>\n\n\n\n

Ce n’est pas moi qui le dit, c’est Apache2 lui m\u00eame. Soyez toujours s\u00fbr d’avoir la derni\u00e8re version d’Apache. Pas pour faire joli, mais pour \u00eatre s\u00fbr que les derni\u00e8res failles sont corrig\u00e9es…<\/p>\n\n\n\n

Inscrivez-vous \u00e0 la liste des annonces de s\u00e9curit\u00e9s<\/a><\/p>\n\n\n\n

Votre sources.list doit absolument contenir (\u00e0 modifier selon votre branche \u00e9videmment):<\/p>\n\n\n\n

deb http:\/\/security.debian.org\/ squeeze\/updates main<\/mark><\/pre>\n\n\n\n
Masquer les d\u00e9tails du serveur web<\/strong><\/mark><\/h3>\n\n\n\n
Pour des raisons de s\u00e9curit\u00e9, il est n\u00e9cessaire de masquer la version d’Apache (afin que l’\u00e9ventuel pirate ne puisse pas identifier la version et donc d’exploiter les failles associ\u00e9es).<\/p>\n\n\n\n
Fichier de configuration Apache<\/strong> : \/etc\/apache2\/apache2.conf<\/p>\n\n\n\n
Ainsi, dans le fichier de configuration Apache, il faut modifier les valeurs:<\/p>\n\n\n\n
ServerTokens Prod\nServerSignature Off<\/pre>\n\n\n\n
Nous pouvons masquer aussi la version de PHP utilis\u00e9e modifiant le fichier php.ini<\/strong><\/p>\n\n\n\n
Fichier de configuratio<\/strong>n PHP :<\/strong> \/etc\/php\/X.Y\/apache2\/php.ini<\/p>\n\n\n\n
expose_php = Off<\/pre>\n\n\n\n
Dans le VirtualHost, on peut ajouter ceci afin de masquer la version de PHP utilis\u00e9e :<\/p>\n\n\n\n
Header unset X-Powered-By<\/pre>\n\n\n\n
Renforcer la s\u00e9curit\u00e9 dans les VirtualHosts<\/mark><\/h3>\n\n\n\n
De mani\u00e8re g\u00e9n\u00e9rale, on peut ajouter dans les VirtualHosts ces directives :<\/p>\n\n\n\n
# Bloquer le d\u00e9tournement de clic (clickjacking)<\/mark><\/em>\nHeader always set<\/strong> X-Frame-Options DENY\n# Bloquer le changement des types MIME<\/em><\/mark>\nHeader always set<\/strong> X-Content-Type-Options nosniff<\/pre>\n\n\n\n
Renforcer la s\u00e9curit\u00e9 en HTTPS<\/mark><\/h3>\n\n\n\n
C\u00f4t\u00e9 SSL\/TLS, afin de renforcer la note \u00ab\u00a0SSL Labs\u00a0\u00bb ( https:\/\/www.ssllabs.com\/ssltest\/<\/a> ) on peut modifier ou ajouter ces directives :<\/p>\n\n\n\n
# D\u00e9sactiver les protocoles non s\u00fbrs<\/mark><\/em>\nSSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1\n# Forcer les algorithmes forts et s\u00fbrs <\/mark><\/em>\nSSLCipherSuite HIGH:3DES:!<\/strong>aNULL:!<\/strong>MD5:!<\/strong>SEED:!<\/strong>IDEA\n# Forcer l'ordre de ces algorithmes <\/mark><\/em>\nSSLHonorCipherOrder on\n# utiliser HSTS<\/mark><\/em>\nHeader always set<\/strong> Strict-Transport-Security \"max-age=15552000; includeSubDomains\"<\/pre>\n\n\n\n
Se prot\u00e9ger contre les attaques DoS<\/mark><\/h3>\n\n\n\n
On peut r\u00e9duire le TimeOut d’apache \u00e0 60 secondes au lieu de 300 secondes (\u00e0 adapter suivant si le site peut avoir des requ\u00eates longues) :<\/p>\n\n\n\n
Timeout 60<\/pre>\n\n\n\n
Mais aussi r\u00e9duire le nombre de processus apache \u00e0 lancer par le serveur :<\/p>\n\n\n\n
ServerLimit 64<\/pre>\n\n\n\n
Utiliser le module mod_security<\/mark><\/h3>\n\n\n\n
ModSecurity est un module d’Apache sp\u00e9cialis\u00e9 dans la s\u00e9curit\u00e9. Il permet donc de s\u00e9curiser la couche applicative avant l’arriv\u00e9e des requ\u00eates sur le site h\u00e9berg\u00e9 sur l’Apache en question. M\u00eame s’il s’agit d’un module, ses fonctionnalit\u00e9s sont vastes et permettent de toucher \u00e0 tous les points de s\u00e9curit\u00e9 n\u00e9cessaire.<\/p>\n\n\n\n
Installation sous Debian<\/p>\n\n\n\n
apt install libapache-mod-security<\/mark><\/pre>\n\n\n\n
Emp\u00eacher le parcours des r\u00e9pertoires<\/mark><\/h3>\n\n\n\n
Pour emp\u00eacher le parcours du r\u00e9pertoire racine du serveur Apache et de tous ses sous-r\u00e9pertoires, ajoutez l’option -Indexes:<\/p>\n\n\n\n
<Directory \/>\n  Order Allow,Deny\n  Allow from all\n  Options -Indexes\n<\/Directory><\/pre>\n\n\n\n
Prot\u00e9ger vos r\u00e9pertoires avec un mot de passe<\/mark><\/h3>\n\n\n\n
mkdir \/var\/www\/admin<\/mark>\n\ncd \/var\/www\/admin<\/mark>\n\nhtpasswd -c .htpass admin<\/mark><\/pre>\n\n\n\n
New password:password<\/mark>\nRe-type new password:password<\/mark>\nAdding password for user admin<\/pre>\n\n\n\n
mkdir \/var\/www\/test<\/mark>\n\nnano \/etc\/apache2\/sites-available\/default<\/mark><\/pre>\n\n\n\n
<Directory \/var\/www\/test>\n  AuthType Basic  \n  AuthName \"autorisation requise\"\n  # (La ligne suivante est facultative)\n  AuthBasicProvider file\n  AuthUserFile \/var\/www\/admin\/.htpass             \n  Require user admin\n<\/Directory><\/pre>\n\n\n\n
Rendez-vous \u00e0: http:\/\/votre.domaine.fr\/test<\/p>\n\n\n\n
D\u00e9sactiver l’ex\u00e9cution de scripts CGI<\/mark><\/h3>\n\n\n\n
Aussi \u00e9vident que cela puisse para\u00eetre, il faut tout de m\u00eame le rappeler, un fichier CGI malveillant dans un r\u00e9pertoire peut-\u00eatre redoutable pour la s\u00e9curit\u00e9 de votre serveur…<\/p>\n\n\n\n
Donc, pensez \u00e0 d\u00e9sactiver \u00ab\u00a0globalement\u00a0\u00bb la possibilit\u00e9 d\u2019ex\u00e9cuter des scripts CGI sur votre serveur.<\/p>\n\n\n\n
Options -ExecCGI<\/pre>\n\n\n\n
Il est toujours possible dans vos <virtualhosts> de les r\u00e9activer, r\u00e9pertoire par r\u00e9pertoire…<\/p>\n\n\n\n
Options +ExecCGI<\/pre>\n\n\n\n
Emp\u00eacher Apache de suivre les liens symboliques<\/mark><\/h3>\n\n\n\n
Avec l’option FollowSymLinks<\/strong> le serveur est autoris\u00e9 \u00e0 suivre les liens symboliques, n\u00e9cessaire pour l’ URL Rewriting. \u00ab\u00a0Options +FollowSymlinks\u00a0\u00bb n’est pas obligatoire pour les \u00ab\u00a0rewriting classiques\u00a0\u00bb. D\u00e9sactivez cette option globalement.<\/p>\n\n\n\n
Options -FollowSymLinks\n<\/pre>\n\n\n\n
M\u00eame remarque que ci-dessus, activez cette option quand n\u00e9cessaire, uniquement pour les r\u00e9pertoires qui en ont besoin.<\/p>\n\n\n\n
htaccess<\/mark><\/h3>\n\n\n\n
Apache permet la gestion d\u00e9centralis\u00e9e de la configuration via des fichiers sp\u00e9ciaux plac\u00e9s dans l’arborescence du site web. Ces fichiers sp\u00e9ciaux se nomment en g\u00e9n\u00e9ral .htaccess, mais tout autre nom peut \u00eatre sp\u00e9cifi\u00e9 \u00e0 l’aide de la directive AccessFileName.<\/p>\n\n\n\n
Les directives plac\u00e9es dans les fichiers .htaccess s’appliquent au r\u00e9pertoire et sous-r\u00e9pertoires dans lequel vous avez plac\u00e9 le fichier<\/p>\n\n\n\n
La syntaxe des fichiers .htaccess est la m\u00eame que celle des fichiers de configuration principaux. Comme les fichiers .htaccess sont lus \u00e0 chaque requ\u00eate, les modifications de ces fichiers prennent effet imm\u00e9diatement.<\/p>\n\n\n\n
Vous ne devriez utiliser les fichiers .htaccess que si vous n’avez pas acc\u00e8s au fichier de configuration du serveur principal.<\/strong><\/p>\n\n\n\n
L’acc\u00e8s aux fichiers .htaccess<\/mark><\/h3>\n\n\n\n
Par d\u00e9faut ces fichiers ne sont pas accessibles, lisibles ou t\u00e9l\u00e9chargeables…<\/p>\n\n\n\n
V\u00e9rifiez que c’est bien le cas:<\/p>\n\n\n\n
AccessFileName .htaccess\n\n#\n# The following lines prevent .htaccess and .htpasswd files from being\n# viewed by Web clients.\n#\n<Files ~ \"^\\.ht\">\n    Order allow,deny\n    Deny from all\n    Satisfy all\n<\/Files>\n<\/pre>\n\n\n\n
Avec un navigateur:<\/p>\n\n\n\n
Forbidden\nYou don't have permission to access \/test\/.htaccess on this server.\n<\/pre>\n\n\n\n
Avec wget:<\/p>\n\n\n\n
wget 10.9.8.3\/test\/.htaccess\n--2011-08-25 11:01:36--  http:\/\/10.9.8.3\/test\/.htaccess\nConnexion vers 10.9.8.3:80...connect\u00e9.\nrequ\u00eate HTTP transmise, en attente de la r\u00e9ponse...403 Forbidden\n2011-08-25 11:01:36 ERREUR 403: Forbidden.\n<\/pre>\n\n\n\n
Interdire l’utilisation des fichiers .htaccess autre que ceux d\u00e9finis par l’administrateur<\/mark><\/h3>\n\n\n\n
Vous devriez emp\u00eacher les utilisateurs de cr\u00e9er leurs propres fichiers .htaccess qui pourraient supplanter vos propres limitations…<\/p>\n\n\n\n
Pour d\u00e9sactiver compl\u00e8tement l’utilisation des fichiers .htaccess:<\/p>\n\n\n\n
<Directory \/>\nAllowOverride None\n<\/ Directory>\n<\/pre>\n\n\n\n
Cela emp\u00eachera l’utilisation de fichiers .htaccess dans tous les r\u00e9pertoires en dehors de ceux sp\u00e9cifiquement activ\u00e9s.<\/p>\n\n\n\n
Filtrer les adresses IP<\/mark><\/h3>\n\n\n\n
N’autorisez pas l’acc\u00e8s de vos r\u00e9pertoire \u00e0 n’importe qui…<\/p>\n\n\n\n
Vous pouvez choisir les adresses IP qui ont acc\u00e8s ou non \u00e0 vos pages. Vous pouvez emp\u00eacher l’acc\u00e8s depuis toute autre ip que la v\u00f4tre \u00e0 n’importe quel r\u00e9pertoire.<\/p>\n\n\n\n
Par exemple : autoriser l’acc\u00e8s seulement depuis votre poste:<\/p>\n\n\n\n
Order Deny,Allow\nDeny from all\nAllow from 127.0.0.1\n<\/pre>\n\n\n\n
ou encore de votre r\u00e9seau local:<\/p>\n\n\n\n
Order Deny,Allow\nDeny from all\nAllow from 10.9.8.0\/22\n<\/pre>\n\n\n\n
ou interdire une IP pr\u00e9cise:<\/p>\n\n\n\n
Order Allow,Deny\nAllow from all\nDeny from 10.9.8.1\n<\/pre>\n\n\n\n
etc\u2026<\/p>\n\n\n\n
Le principe est le suivant : Allow,Deny : L’IP doit \u00eatre dans un Allow from et ne pas \u00eatre dans un Deny From pour \u00eatre autoris\u00e9e Deny,Allow : L’IP doit \u00eatre dans un Deny from et ne pas \u00eatre dans un Allow From pour \u00eatre interdite<\/p>\n\n\n\n
Limiter les DoS (Denial of Service)<\/mark><\/h3>\n\n\n\n
Il est possible de tenter de limiter la port\u00e9e des attaques de type Denial of Service (D\u00e9nis de Service).<\/p>\n\n\n\n
La technique consiste \u00e0 limiter le nombre de connexions simultan\u00e9es (MaxClients) et le nombre de connexions persistantes (MaxKeepAliveRequests).<\/p>\n\n\n\n
Celles-ci sont utilis\u00e9es afin d’augmenter les performances du serveur, mais elles ont leur revers…<\/p>\n\n\n\n
L\u2019utilisation d\u2019un timeout emp\u00eache les connexions sans fin.<\/p>\n\n\n\n
Voici un exemple pour un petit serveur (\u00e0 placer \u00e0 la fin de votre fichier apache2.conf)<\/p>\n\n\n\n
MaxClients 150\nKeepAlive On\nMaxKeepAliveRequests 100\nKeepAliveTimeout 10\n<\/pre>\n\n\n\n
Il est bien \u00e9vident que pour un serveur \u00e0 lourde charge ces valeurs doivent \u00eatres augment\u00e9s.<\/p>\n\n\n\n
Limiter les Ddos et d\u00e9nis de services avec mod-evasive<\/a><\/h4>\n\n\n\n
Les \u00ab\u00a0Inclusions C\u00f4t\u00e9 Serveur\u00a0\u00bb (Server Side Includes – SSI)<\/h4>\n\n\n\n
Les SSI permettent d’ajouter du contenu dynamique \u00e0 des documents HTML pr\u00e9existants.<\/p>\n\n\n\n
SSI (Server Side Includes) est constitu\u00e9 de directives plac\u00e9es dans des pages HTML qui vous permettent d’ajouter du contenu g\u00e9n\u00e9r\u00e9 dynamiquement \u00e0 une page HTML pr\u00e9existante, sans avoir \u00e0 servir la page enti\u00e8re via un programme CGI, ou toute autre technologie de contenu dynamique.<\/p>\n\n\n\n
Comme pour les autres options, d\u00e9sactivez globalement:<\/p>\n\n\n\n
Toujours au m\u00eame endroit, (dans un tag <Directory>) :<\/p>\n\n\n\n
Options -Includes\n<\/pre>\n\n\n\n
<VirtualHost> et ses Directives<\/mark><\/h3>\n\n\n\n
Les balises <VirtualHost> et <\/VirtualHost> permettent de rassembler un groupe de directives qui ne s’appliqueront qu’\u00e0 un serveur virtuel en particulier. Chaque serveur virtuel doit correspondre \u00e0 une adresse IP, un port ou un nom d’h\u00f4te sp\u00e9cifique<\/p>\n\n\n\n
Exemple<\/p>\n\n\n\n
NameVirtualHost 10.9.8.3:80\n\n<VirtualHost 10.9.8.3:80>\n       ServerAdmin webmaster@zehome.org\n       DocumentRoot \/var\/www\/webmail\/\n       ServerName webmail.zehome.org\n       <Directory \"\/var\/www\/webmail\/\">\n               allow from all\n               Options None\n       <\/Directory>\n<\/VirtualHost>\n\n<VirtualHost 10.9.8.3:80>\n       ServerAdmin webmaster@zehome.org\n       DocumentRoot \/var\/www\/cubmail\/\n       ServerName cubmail.zehome.org\n       php_value suhosin.session.encrypt Off\n       <Directory \"\/var\/www\/cubmail\/\">\n               allow from all\n               Options None\n       <\/Directory>\n<\/VirtualHost>\n<\/pre>\n\n\n\n
Pour que ceci fonctionne, vous devez vous assurez que les noms webmail.zehome.org et cubmail.zehome.org sont des alias (CNAME) pointant vers l’adresse IP 10.9.8.3<\/p>\n","protected":false},"excerpt":{"rendered":"
Un serveur Web peut \u00eatre source de graves probl\u00e8mes de s\u00e9curit\u00e9 si vous n’y prenez pas garde… Ce<\/p>\n","protected":false},"author":1,"featured_media":932,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-920","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-linux"],"_links":{"self":[{"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/posts\/920","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=920"}],"version-history":[{"count":30,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/posts\/920\/revisions"}],"predecessor-version":[{"id":1142,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/posts\/920\/revisions\/1142"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=\/wp\/v2\/media\/932"}],"wp:attachment":[{"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=920"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=920"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hinakuu.xyz\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=920"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}