L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:lagrenouille:tutos:le-serveur-apache2 [06/11/2019 00:13]
lagrenouille [Utilisation]
+++ utilisateurs:lagrenouille:tutos:le-serveur-apache2 [01/10/2023 11:42] (Version actuelle)
@@ Ligne 1: / Ligne 1: @@
 ====== le serveur apache ======
   * Objet : du tuto : une approche du serveur apache2
-  * Auteur : Lagrenouille
+  * Création par [[user>lagrenouille]] le 04/11/2019
-  * Niveau requis : {{tag>débutant avisé}}
+  * Niveau requis : FIXME {{tag>débutant avisé}}
   * Commentaires : //Contexte d'utilisation du sujet du tuto. //
   * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-)
@@ Ligne 192: / Ligne 191: @@
 * Si je regarde les" .htaccess "de mon installation "galette" en local, seul localhost est autorisé.(127.0.0.1), le module mod_authz_host. restreint l’accès à certaines parties de votre site web en fonction de l’adresse de l’hôte de vos visiteurs.
-**Require all denied** signifie que toutes les requêtes sont rejetées.
-<code>Options -Indexes
-<IfModule mod_authz_core.c>
-Require all denied
-</IfModule>
-<IfModule !mod_authz_core.c>
-Order deny,allow
-Deny from All
-Allow from 127.0.0.1
-</IfModule>
-</code>
-On peut bloquer l’accès à une ou plusieurs adresses IP au sein du fichier " .htaccess ".
-Bloquer une ou plusieurs adresse IP
-<code>Order Allow,Deny
-Allow from all
-Deny from 188.225.35.210
-Deny from 77.92.147.147
-Deny from 173.12.102.9
-Deny from 72.249.126.116</code>
-Bloquer la plage d'IP qui commencent par 188.225.35
-<code>
-Order Allow,Deny
-Allow from all
-Deny from 189.167.89
-</code>
-Order Allow,Deny » sert à définir l'ordre de priorité pour stipuler que toute personne qui n'est pas autorisée (Allow) est alors refusée (Deny)
-Allow from all » spécifie que tout le monde est autorisé jusqu'à preuve du contraire.
 En général, les fichiers .htaccess utilisent la même syntaxe que les fichiers de configuration principaux. Ce que vous pouvez mettre dans ces fichier est déterminé par la directive AllowOverride.
@@ Ligne 280: / Ligne 245: @@
 Pour relancer apache2 :
 <code root>systemctl restart apache2</code>
 Pour recharger la configuration d'apache2 :
 <code root>systemctl reload apache2</code>
@@ Ligne 299: / Ligne 265: @@
 {{Allow}} définit les clients autorisés
-{{Deny}} définit les clients interdits
+{{Deny}} Définit quels hôtes ne sont pas autorisés à accéder au serveur
-{{Order}} définit l’ordre dans lequel évaluer ces deux directives.
+{{Order}} Définit le statut d'accès par défaut et l'ordre dans lequel les directives Allow et Deny sont évaluées.
-**si:**
+[[https://httpd.apache.org/docs/2.4/fr/mod/mod_alias.html]]
-<code>Order Deny,Allow
-Deny from all
-Allow from example.org
-</code>
-alors: tous les hôtes du domaine example.org ont l'autorisation d'accès ; tous les autres voient leur accès refusé.
-**si:**
+**-La doc apache dit:**
+<note>Les directives fournies par le module mod_access_compat sont devenues obsolètes depuis la refonte du module mod_authz_host. Mélanger d'anciennes directives comme Order, Allow ou Deny avec des nouvelles comme Require est techniquement possible mais déconseillé. En effet, mod_access_compat a été conçu pour supporter des configurations ne contenant que des anciennes directives afin de faciliter le passage à la version 2.4. Voir le document upgrading pour plus de détails.</note>
-<code>Order Allow,Deny
-Allow from example.org
-Deny from foo.example.org
-</code>
-tous les hôtes du domaine example.org ont l'autorisation d'accès, sauf ceux du sous-domaine foo.example.org qui voient leur accès refusé.
-**Voir plus de détails ici**
+- Les directives Allow et Deny permettent de spécifier quels clients sont ou ne sont pas autorisés à accéder au serveur, alors que la directive Order définit le statut            d'accès par défaut, et détermine la manière dont les directives Allow et Deny interagissent entre elles.
-[[https://httpd.apache.org/docs/2.4/fr/sections.html]]
+====Quels outils pour la surveillance d’apache et les logs d’apache ?====
+Tous les services réseau peuvent faire l’objet d’attaques de type: "Déni de service" (Denial of Service - DoS)
+* Pour empêcher aux services réseaux de répondre correctement aux demandes, les pirates saturent leurs ressource par l’envoie d’énormes envoies de données, difficile de se prémunir de ces attaques, sinon par des pare-feu qui limitent les connexions d’ip ou de réseaux. (voir iptables et ntables)
+Des outils de surveillances et d’audit peuvent faciliter la.source des attaques, ainsi qu des configurations propres au système d’exploitation.
+La directive RequestReadTimeout permet de limiter le temps que met le client pour envoyer sa requête, ce qui peut être à double tranchant.
+Voir dans les nombreux modules d’apache sil existe des conf qui peuvent minimiser les problèmes de DoS.
+Assurez vous que les utilisateurs n’ait aucun droit pour modifier les configurations, apache c’est à root et à lui seul.
+Apache est démarré par l’utilisateur root, puis il devient la propriété de l’utilisateur défini par la directive User afin de répondre aux demandes.
+-Enfin, maintenez votre serveur à jour, et lisez la doc ici :
+[[https://httpd.apache.org/docs/2.4/fr/misc/security_tips.html]]
+-Surveillez vos journaux, même si les fichiers journaux ne consignent que des évènements qui se sont déjà produits, ils vous informeront sur la nature des attaques qui sont lancées contre le serveur et vous permettront de vérifier si le niveau de sécurité nécessaire est atteint.
+contrôler le fonctionnement du démon Apache avec l'interface de contrôle du serveur HTTP Apache: **apachectl**
+<code root>apachectl status</code>
+D' autres options
+start: démarre apache
+stop: arrête apache
+restart redémarre apache
+**apachetop**
+Outil de surveillance de Apache en temps réel, apache top est un utilitaire en temps réel basé sur curses qui affiche des informations à propos d’une copie d’Apache en cours d’exécution.
+Il est conçu sur le modèle de l’utilitaire standard « top » et affiche des informations telles que le nombre de requêtes par seconde, le nombre d’octets par seconde et les adresses les plus souvent demandées.
+Il doit être lancé à partir d’une machine exécutant Apache car il fonctionne en traitant les fichiers de journaux situés dans /var/log/apache
+**
+la doc apache spécifie:**
+"La première chose à faire lors de la mise en production d’un serveur Apache est de faire en sorte qu’il n’affiche pas l’ensemble de ses informations de versions afin d’éviter à tout attaquant potentiel de connaître trop d’informations sur sa machine cible."
+-Pour cela deux directives sont à modifier.
+-Ces deux directives se trouvent dans le fichier /etc/apache2/conf.d/security, que l’on édite :
+soit dans /etc/apache2/conf.d/security ou dans etc/apache2/conf-available/security.conf
+-si l'on a
+ServerTokens OS
+* mis par défaut en général : le serveur affichera Apache, son numéro de version complet et son système d’exploitation Apache/2.0.55 (Debian)
+mettre la plus restrictive, Apache ne devrait afficher que Apache ;
+ServerTokens Prod
+-si l'on a
+ServerTokens OS
+* mis par défaut en général : le serveur affichera Apache, son numéro de version complet et son système d’exploitation Apache/2.0.55 (Debian)
+mettre
+ServerSignature Off
+et l'on n’affichera pas ces informations.
+On n’oublie pas de recharger la configuration d’Apache
+<code root>service apache2 reload
+</code>
+Voir plus de détails ici:
+[[https://httpd.apache.org/docs/2.4/fr/sections.html]]
+**c'est loin, loin d’être complet, reportez vous à la doc d'apache, très complète et volumineuse.
+**
-   C'EST PAS FINI .O))

utilisateurs/lagrenouille/tutos/le-serveur-apache2.1572995595.txt.gz · Dernière modification: 06/11/2019 00:13 par lagrenouille

Debian-facile

Différences

Pied de page des forums