Sécuriser un serveur Apache

Pause Café
#1

Salut,
J’ai commencé à écrire un petit texte expliquant les mesures minimales à prendre pour sécuriser un serveur Apache (J’ai toujours choisi Apache, si quelqu’un souhaite se pencher sur Lighttp il est le bienvenue).

Voici ou j’en suis pour l’instant…

1 Keep up to date
2 Limiter les informations visibles
2.1 le fichier /etc/apache2/conf.d/security
2.2 Prévoyez une page pour les “404”
3 Tout interdire par défaut (Deny from all)
4 Directive (bien définir ses hôtes virtuels)
5 Limiter les DoS (Denial of Service)
6 htaccess (explication rapide)
6.1 Interdire l’utilisation des fichiers .htaccess autre que ceux définis par l’administrateur ((AllowOverride None))

C’est pas lourd, mais je ne suis pas un cador…

J’ai pensé à:

  • interdire la navigation dans les répertoires;
  • Sécuriser des répertoires avec mot de passe;
  • Activer et configurer le module http de fail2ban;
  • Etc.

Je compte sur vous pour le etc, et pour des idées supplémentaires (chroot, suexec ?)
Éventuellement des liens… (ne me renvoyez pas sur le site de apache, j’en viens… :mrgreen: )

#2

Salut,
Je vois que ça déchaîne les foules ce sujet… J’aurais du mettre en titre:

“Comment [size=65]essayer de[/size] niquer les hackers de serveur Web!” :mrgreen:
Ou
“J’ma fait hacker mon Apache! Help!” :005

Bref, j’ai un peu ramé sur mod_security, j’y ai passé deux jours… Le paquet Debian est un peu à la ramasse (les règles en particulier…) mais c’est bon, enfin… access denied! :smiley:

Je crois que je vais mettre en forme et publier demain ou après-demain sur le Wiki histoire de vous laisser la possibilité d’être désagréables avec moi… :005

Il reste beaucoup à faire…

chroot ? (qui devrait fonctionner avec mod_security d’ailleurs)
D’autres modules exotiques ?

D’autres idées ? Ne vous battez pas surtout… :006

PS: Merci à Gilles974 pour son soutien et son aide… :023

#3

Le début de ta réponse m’a bien fait rire mais il est emprunt de vérité, on n’attrape pas les mouches avec du vinaigre :laughing:
Perso, je suis l’affaire mais je n’ai rien à apporter comme éléments, sinon mes misères récentes.

#4

linuxfr.org/users/spack/journau … http-range

[quote]Un bug exploitable à distance a récemment été découvert sur le serveur HTTP Apache et affecterait toutes les versions depuis la 1.3.

Le bug provient de la façon dont Apache traite une requête HTTP demandant plusieurs rangées de données se chevauchant. En effet, il est possible de spécifier dans l’en-tête HTTP la rangée des données que l’on veut recevoir au lieu des données complètes. Ceci est notamment utilisé lors du téléchargement d’un fichier et permet de reprendre le téléchargement là où il s’était arrêté.[/quote]
mail-archives.apache.org/mod_mbo … box/thread
pas encore de patch dispo, mais actions possibles.

#5

Merci pour l’info.

[quote]A patch or new apache release for Apache 2.0 and 2.2 is expected
in the next 48 hours. Note that, while popular, Apache 1.3 is deprecated.[/quote]

Ce sera peut-être réglé avant que j’ai fini mon papier… :wink:

#6

Hé bien non finalement…

isalo.org/wiki.debian-fr/ind … er_Apache2

Vous êtes invités à lire/relire et si possible repérer les coquilles… Merci. :006

Edit:[quote=“ricardo”]Perso, je suis l’affaire mais je n’ai rien à apporter comme éléments, sinon mes misères récentes.[/quote]C’est suite à tes questions que je me suis penché sur “l’affaire”…

#7

Salut,

J’ai “découvert” une distribution parait-il sécurisée, mais elle ne connait pas le français, ne distribue librement qu’une version live et je n’ai pas été foutu de trouver les MDP pour démarrer.
Avis aux anglophiles : wyatta

#8

[quote=“ggoodluck47”]Salut,

J’ai “découvert” une distribution parait-il sécurisée, mais elle ne connait pas le français, ne distribue librement qu’une version live et je n’ai pas été foutu de trouver les MDP pour démarrer.
Avis aux anglophiles : wyatta[/quote]

Rien trouvé de tel… à part de chaussures pour dame. Tu as un lien ?

#9

Re,

quebecos.com/modules/news/index.php

#10

Salut

Je suis en train de lire la page sur le wiki et il y a :

chmod -R www-data:www-data /var/www/notfound
ce n’est pas plutôt :

chown -R www-data:www-data /var/www/notfound

#11

Salut,

Merci Gaston :blush:

#12

De rien je suis en train de voir si cela marche sur mon serveur (vieux PC qui me sert de serveur)
juste pour tester. En plus j’apprends des choses.

J’ai corrigé une autre erreur
Dans Protéger vos répertoires avec un mot de passe il y a

et après

<Directory /var/www/test>
               ....
               AuthUserFile /var/www/admin/.htpass             
               ....
       </Directory>

Je pense que le mieux est de faire :

#13

[quote=“lol”][quote=“ggoodluck47”]Salut,

J’ai “découvert” une distribution parait-il sécurisée, mais elle ne connait pas le français, ne distribue librement qu’une version live et je n’ai pas été foutu de trouver les MDP pour démarrer.
Avis aux anglophiles : wyatta[/quote]

Rien trouvé de tel… à part de chaussures pour dame. Tu as un lien ?[/quote]

Il fallait écrire et lire vyatta :angry:

#14

Salut,
@Gaston: Merci pour les corrections! J’ai un peu accéléré à la fin, et je me suis planté dans les copier/coller… :wink:

@Ggoodluck47: user vyatta with password vyatta

#15

Salut,

Merci, mais mes yeux avaient décidé de me faire voir un W et je n’en démorsais pas :laughing:

#16

C’est la tra-Wyatta… :mrgreen:

#17

… de Werdi ?