Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
utilisateurs:lagrenouille:tutos:le-serveur-apache2 [06/11/2019 00:23] lagrenouille [Utilisation] |
utilisateurs:lagrenouille:tutos:le-serveur-apache2 [06/11/2019 13:16] lagrenouille [Utilisation] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== le serveur apache ====== | ====== le serveur apache ====== | ||
- | | ||
* Objet : du tuto : une approche du serveur apache2 | * Objet : du tuto : une approche du serveur apache2 | ||
- | * Auteur : Lagrenouille | + | * Création par [[user>lagrenouille]] le 04/11/2019 |
- | * Niveau requis : {{tag>débutant avisé}} | + | * Niveau requis : FIXME {{tag>débutant avisé}} |
* Commentaires : //Contexte d'utilisation du sujet du tuto. // | * Commentaires : //Contexte d'utilisation du sujet du tuto. // | ||
* Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | ||
Ligne 192: | Ligne 191: | ||
* Si je regarde les" .htaccess "de mon installation "galette" en local, seul localhost est autorisé.(127.0.0.1), le module mod_authz_host. restreint l’accès à certaines parties de votre site web en fonction de l’adresse de l’hôte de vos visiteurs. | * Si je regarde les" .htaccess "de mon installation "galette" en local, seul localhost est autorisé.(127.0.0.1), le module mod_authz_host. restreint l’accès à certaines parties de votre site web en fonction de l’adresse de l’hôte de vos visiteurs. | ||
- | **Require all denied** signifie que toutes les requêtes sont rejetées. | ||
- | |||
- | <code>Options -Indexes | ||
- | <IfModule mod_authz_core.c> | ||
- | Require all denied | ||
- | </IfModule> | ||
- | <IfModule !mod_authz_core.c> | ||
- | Order deny,allow | ||
- | Deny from All | ||
- | Allow from 127.0.0.1 | ||
- | </IfModule> | ||
- | </code> | ||
- | |||
- | On peut bloquer l’accès à une ou plusieurs adresses IP au sein du fichier " .htaccess ". | ||
- | |||
- | Bloquer une ou plusieurs adresse IP | ||
- | |||
- | <code>Order Allow,Deny | ||
- | Allow from all | ||
- | Deny from 188.225.35.210 | ||
- | Deny from 77.92.147.147 | ||
- | Deny from 173.12.102.9 | ||
- | Deny from 72.249.126.116</code> | ||
- | |||
- | Bloquer la plage d'IP qui commencent par 188.225.35 | ||
- | <code> | ||
- | Order Allow,Deny | ||
- | Allow from all | ||
- | Deny from 189.167.89 | ||
- | </code> | ||
- | |||
- | Order Allow,Deny » sert à définir l'ordre de priorité pour stipuler que toute personne qui n'est pas autorisée (Allow) est alors refusée (Deny) | ||
- | |||
- | Allow from all » spécifie que tout le monde est autorisé jusqu'à preuve du contraire. | ||
En général, les fichiers .htaccess utilisent la même syntaxe que les fichiers de configuration principaux. Ce que vous pouvez mettre dans ces fichier est déterminé par la directive AllowOverride. | En général, les fichiers .htaccess utilisent la même syntaxe que les fichiers de configuration principaux. Ce que vous pouvez mettre dans ces fichier est déterminé par la directive AllowOverride. | ||
Ligne 280: | Ligne 245: | ||
Pour relancer apache2 : | Pour relancer apache2 : | ||
<code root>systemctl restart apache2</code> | <code root>systemctl restart apache2</code> | ||
+ | |||
Pour recharger la configuration d'apache2 : | Pour recharger la configuration d'apache2 : | ||
<code root>systemctl reload apache2</code> | <code root>systemctl reload apache2</code> | ||
Ligne 299: | Ligne 265: | ||
{{Allow}} définit les clients autorisés | {{Allow}} définit les clients autorisés | ||
- | {{Deny}} définit les clients interdits | + | {{Deny}} Définit quels hôtes ne sont pas autorisés à accéder au serveur |
- | {{Order}} définit l’ordre dans lequel évaluer ces deux directives. | + | {{Order}} Définit le statut d'accès par défaut et l'ordre dans lequel les directives Allow et Deny sont évaluées. |
- | **si:** | + | [[https://httpd.apache.org/docs/2.4/fr/mod/mod_alias.html]] |
- | <code>Order Deny,Allow | + | |
- | Deny from all | + | |
- | Allow from example.org | + | |
- | </code> | + | |
- | alors: tous les hôtes du domaine example.org ont l'autorisation d'accès ; tous les autres voient leur accès refusé. | + | |
- | **si:** | + | **-La doc apache dit:** |
+ | <note>Les directives fournies par le module mod_access_compat sont devenues obsolètes depuis la refonte du module mod_authz_host. Mélanger d'anciennes directives comme Order, Allow ou Deny avec des nouvelles comme Require est techniquement possible mais déconseillé. En effet, mod_access_compat a été conçu pour supporter des configurations ne contenant que des anciennes directives afin de faciliter le passage à la version 2.4. Voir le document upgrading pour plus de détails.</note> | ||
- | <code>Order Allow,Deny | ||
- | Allow from example.org | ||
- | Deny from foo.example.org | ||
- | </code> | ||
- | tous les hôtes du domaine example.org ont l'autorisation d'accès, sauf ceux du sous-domaine foo.example.org qui voient leur accès refusé. | ||
- | |||
- | **Voir plus de détails ici** | ||
- | [[https://httpd.apache.org/docs/2.4/fr/sections.html]] | ||
+ | - Les directives Allow et Deny permettent de spécifier quels clients sont ou ne sont pas autorisés à accéder au serveur, alors que la directive Order définit le statut d'accès par défaut, et détermine la manière dont les directives Allow et Deny interagissent entre elles. | ||
====Quels outils pour la surveillance d’apache et les logs d’apache ?==== | ====Quels outils pour la surveillance d’apache et les logs d’apache ?==== | ||
Ligne 359: | Ligne 314: | ||
Il doit être lancé à partir d’une machine exécutant Apache car il fonctionne en traitant les fichiers de journaux situés dans /var/log/apache | Il doit être lancé à partir d’une machine exécutant Apache car il fonctionne en traitant les fichiers de journaux situés dans /var/log/apache | ||
- | **multtail** | ||
+ | ** | ||
+ | la doc apache spécifie:** | ||
+ | |||
+ | "La première chose à faire lors de la mise en production d’un serveur Apache est de faire en sorte qu’il n’affiche pas l’ensemble de ses informations de versions afin d’éviter à tout attaquant potentiel de connaître trop d’informations sur sa machine cible." | ||
+ | |||
+ | -Pour cela deux directives sont à modifier. | ||
+ | -Ces deux directives se trouvent dans le fichier /etc/apache2/conf.d/security, que l’on édite : | ||
+ | soit dans /etc/apache2/conf.d/security ou dans etc/apache2/conf-available/security.conf | ||
+ | |||
+ | -si l'on a | ||
+ | ServerTokens OS | ||
+ | * mis par défaut en général : le serveur affichera Apache, son numéro de version complet et son système d’exploitation Apache/2.0.55 (Debian) | ||
+ | mettre la plus restrictive, Apache ne devrait afficher que Apache ; | ||
+ | ServerTokens Prod | ||
+ | |||
+ | -si l'on a | ||
+ | ServerTokens OS | ||
+ | * mis par défaut en général : le serveur affichera Apache, son numéro de version complet et son système d’exploitation Apache/2.0.55 (Debian) | ||
+ | mettre | ||
+ | ServerSignature Off | ||
+ | et l'on n’affichera pas ces informations. | ||
+ | |||
+ | On n’oublie pas de recharger la configuration d’Apache | ||
+ | |||
+ | <code root>service apache2 reload | ||
+ | </code> | ||
+ | |||
+ | Voir plus de détails ici: | ||
+ | [[https://httpd.apache.org/docs/2.4/fr/sections.html]] | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | **c'est loin, loin d’être complet, reportez vous à la doc d'apache, très complète et volumineuse. | ||
+ | ** | ||
- | C'EST PAS FINI .O)) | ||