Tuto DF : sécuriser Apache2 ?

Orlando · 02-11-2016 22:56:12

Bonjour à tous

Je viens de prendre un abonnement OVH pour hébergé mes sites web sur un serveur virtuel : VPS SSD
Dessus j'ai installé la distrib Ubuntu 16.04 et le Cpanel ISP Config3 (installation LAMP inclus).
J'ai pu me connecter sans pb au Cpanel....

Sur les conseil du support OVH je suivais un tuto de DEBIAN FACILE pour sécuriser mon serveur Apache2, à partir de :
https://debian-facile.org/doc:reseau:ap … n-site-web

Mais en retour de la commande : root(@)vpsNUMBER.ovh.net: ~# nano /etc/apache2/conf.d/security

La fenêtre GNU nano s'ouvre et affiche ce commentaire : “Le fichier n'existe /etc/apache2/conf.d/security n'existe pas“
Il n'y a pas non plus de répertoire "conf.d“

Quelqu'un pour m'aider (a comprendre) !?

Dernière modification par Orlando (02-11-2016 22:56:52)

leonlemouton · 02-11-2016 23:31:18

Il y a des infos ici je crois : https://www.skyminds.net/serveur-dedie- … -8-jessie/
et ici : https://doc.ubuntu-fr.org/modsecurity

Le module security est-il activé ?

a2enmod security2

service apache2 restart

greenmerlin · 03-11-2016 00:27:10

Bonsoir,

effectivement le Wiki a besoin d'une petite maj

le repertoire

/etc/apache2/conf.d

a été "remplacé" (enfin pas vraiment) par /etc/apache2/conf-available entre autres

tu trouvera tous les changements ICI -> https://wiki.debian.org/Apache/PackagingFor24

bon courage

smolski · 03-11-2016 05:05:00

Mis Obsolète en attendant la mise à jour...

bendia · 03-11-2016 08:59:37

Salut

Le module security2 n'est pas installé par défaut qui plus est. Il faut donc le faire avant de passer les commandes données par leonlemouton

apt-get install libapache2-mod-security2

Orlando · 06-11-2016 11:11:24

Merci !

Grace à vos réponses, j'ai pu me faire un workflow pour sécuriser Apache2, sur la base de ce POST UBUNTU sur lequel vous m'avez orienté et que je vais suivre pas à pas : https://doc.ubuntu-fr.org/modsecurity

Faut il pour autant mettre à la poubelle toutes les étapes du Wiki “Sécuriser Apache2“ qui ne serait plus à jour (mais qui est toujours en ligne) ?

Est-ce que les sous sections de ce Wiki listées ci-dessous (non traitées dans le post Ubuntu...) sont aussi A JETER comme l'était la section pour laquelle je vous ai solliciter la fois précédente (rappel) : https://debian-facile.org/doc:reseau:ap … on-site-web ?

A JETER OU PAS ! EN ATTENDANT UNE MAJ....
******* Nouvel utilisateur :
https://debian-facile.org/doc:reseau:ap … teme-linux
******* Modif de fichiers :
https://debian-facile.org/doc:reseau:ap … -available
******* Appartenance des droit de fichiers :
https://debian-facile.org/doc:reseau:ap … par-apache

Par exemple, est-ce qu'il est toujours conseillé de créer un utilisateur - non root - pour être tranquille lors des uploads et dowloads de fichiers en SFTP, ou pour protéger le noyau de l'OS du serveur distant lors de l'exécution de certaines lignes de commandes en SSH ... !?

Votre aide reste la bienvenue !

Et j'ai hâte de tester l'upload de mes sites et applications web sur mon nouveau serveur distant VPS SSD 1 (ovh)... !

bendia · 06-11-2016 11:42:17

Salut

Merci pour tes remarques, elles ont permis de préciser le cadre d'application de ce tuto, à savoir Apache2.2 et Debian 7, version LTS encore supportée, donc, à garder en ligne

Un tuto sur Apache2.4 sous Debian 8 est en cours de préparation.

Orlando a écrit :

Par exemple, est-ce qu'il est toujours conseillé de créer un utilisateur - non root - pour être tranquille lors des uploads et dowloads de fichiers en SFTP, ou pour protéger le noyau de l'OS du serveur distant lors de l'exécution de certaines lignes de commandes en SSH ... !?

Oui, toujours. D'une manière générale, il ne faut faire en root que ce qui est absolument nécessaire.

Orlando · 08-11-2016 02:15:38

Merci,

Ce post ubuntu sur lequel vous m'avez orienté, semble adapté mais incomplet pour sécuriser mon serveur Apache2.4.18 :
https://doc.ubuntu-fr.org/modsecurity.......

Je vais donc installer “Modsecurity“. Ensuite je créerai un nouvel utilisateur “non root" comme expliquer dans le Wiki pour Apache2.2 :
https://debian-facile.org/doc:reseau:ap … teme-linux

Mais à propos des autres sections de ce Wiki (voir mon post précédent), si elles ne sont plus adaptées pour mon serveur Apache2.4,
est-ce qu'il sera suffisamment sécurisé en attendant le nouveau tuto Apache2.4 sous Debian 8 (en cours de préparation) ?

Est-ce que je peux être prévenu quand le tuto sera prêt ?

Keoz

Debian-facile

#1 02-11-2016 22:56:12

Tuto DF : sécuriser Apache2 ?

#2 02-11-2016 23:31:18

Re : Tuto DF : sécuriser Apache2 ?

#3 03-11-2016 00:27:10

Re : Tuto DF : sécuriser Apache2 ?

#4 03-11-2016 05:05:00

Re : Tuto DF : sécuriser Apache2 ?

#5 03-11-2016 08:59:37

Re : Tuto DF : sécuriser Apache2 ?

#6 06-11-2016 11:11:24

Re : Tuto DF : sécuriser Apache2 ?

#7 06-11-2016 11:42:17

Re : Tuto DF : sécuriser Apache2 ?

#8 08-11-2016 02:15:38

Re : Tuto DF : sécuriser Apache2 ?

Pied de page des forums