votre logo (logo)

BrAuSa

Installation et configuration d'un serveur WEB

Sécuriser un minimum votre serveur WEB

Nous allons sécuriser un minimum notre serveur Apache.
Si vous souhaitez aller plus loin dans la sécurisation d'Apache, je vous invite à taper securiser apache dans un moteur de recherche.

Cacher la version d'apache

Lorsqu'une personne se connecte sur le port 80 d'un serveur web via telnet et qu'il tape HEAD / HTTP/1.0 suivi de deux <enter> il obtient les informations ci-dessous (en gras):

# telnet srvname.exemple-ch.org 80
...
HEAD / HTML/1.0 ...
Server: Apache/2.2.15 (CentOS)
...

Pour cacher ces informations modifier/ajouter la clés "ServerTokens Prod[uctOnly]" au fichier /etc/httpd/conf/httpd.conf. Avec la clés "ServerTokens Prod" la banière Server: Apache/2.2.15 (CentOS) se limite à Server : Apache.

Cela ne suffit toujours pas à masquer la version d'Apache : si vous demandez une page inexistante, Apache renvoie une page d'erreur 404 avec en bas de la page, le message Apache/2.2.3 Server at www.exemple-ch.org Port 80 qui révèle la version du serveur d'Apache.

Pour empêcher cela, il faut modifier/ajouter la clés "ServerSignature Off" au fichier /etc/httpd/conf/httpd.conf.

# vim /etc/httpd/conf/httpd.conf
...
#
# Dont give away too much information about all the subcomponents
# we are running. Comment out this line if you don't mind remote sites
# finding out what major optional modules you are running
ServerTokens Prod
...
#
# Optionally add a line containing the server version and virtual host
# name to server-generated pages (internal error documents, FTP directory
# listings, mod_status and mod_info output etc., but not CGI generated
# documents or custom error documents).
# Set to "EMail" to also include a mailto: link to the ServerAdmin.
# Set to one of: On | Off | EMail
#
ServerSignature Off
...

Supprimer également le fichier welcome.conf du répertoire /etc/httpd/conf.d. Ce fichier redirige sur la page de test d'Apache.

Restreindre l'accès aux fichiers

Toujours dans le fichier /etc/httpd/conf/httpd.conf modifier/ajouter les clés ci-dessous pour restreindre l'accès aux fichiers de l'arboresence du serveur. Cela implique qu'il faudra explicitement autoriser l'accès aux répertoires lors de la définition d'un hôte virtuel ou d'un alias (voir Aliases et Hôtes virtuels).

...
<Directory "/var/www/html">
...
# The Options directive is both complicated and important. Please see
# http://httpd.apache.org/docs/2.2/mod/core.html#options
# for more information.
#
Options None
...
AllowOverride None
...
Order deny,allow
Allow from all
</Directory>
...

N'oubliez pas de redémarrer le service httpd avec la commande /etc/init.d/httpd restart.



<-- Installation & configuration d'un serveur web Configuration avancée -->

Si vous avez des remarques, ou constatez des erreurs dans ce tuto, n'hésitez pas à me faire un