logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).


L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT → ODT PDF Export

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
utilisateurs:lagrenouille:tutos:le-serveur-apache2 [06/11/2019 08:24]
lagrenouille [le serveur apache]
utilisateurs:lagrenouille:tutos:le-serveur-apache2 [01/10/2023 11:42] (Version actuelle)
Ligne 1: Ligne 1:
 ====== le serveur apache ====== ====== le serveur apache ======
  
-    ​ 
   * Objet : du tuto : une approche du serveur apache2   * Objet : du tuto : une approche du serveur apache2
   * Création par [[user>​lagrenouille]] le 04/11/2019   * Création par [[user>​lagrenouille]] le 04/11/2019
-  * Niveau requis : {{tag>​débutant avisé}}+  * Niveau requis : FIXME {{tag>​débutant avisé}}
   * Commentaires : //Contexte d'​utilisation du sujet du tuto. //    * Commentaires : //Contexte d'​utilisation du sujet du tuto. // 
   * Débutant, à savoir : [[:​doc:​systeme:​commandes:​le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-)   * Débutant, à savoir : [[:​doc:​systeme:​commandes:​le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-)
Ligne 192: Ligne 191:
 * Si je regarde les" .htaccess "de mon installation "​galette"​ en local, seul localhost est autorisé.(127.0.0.1),​ le module mod_authz_host. restreint l’accès à certaines parties de votre site web en fonction de l’adresse de l’hôte de vos visiteurs. * Si je regarde les" .htaccess "de mon installation "​galette"​ en local, seul localhost est autorisé.(127.0.0.1),​ le module mod_authz_host. restreint l’accès à certaines parties de votre site web en fonction de l’adresse de l’hôte de vos visiteurs.
  
-**Require all denied** signifie que toutes les requêtes sont rejetées. 
- 
-<​code>​Options -Indexes 
-<​IfModule mod_authz_core.c>​ 
-Require all denied 
-</​IfModule>​ 
-<​IfModule !mod_authz_core.c>​ 
-Order deny,allow 
-Deny from All 
-Allow from 127.0.0.1 
-</​IfModule>​ 
-</​code>​ 
- 
-On peut bloquer l’accès à une ou plusieurs adresses IP au sein du fichier " .htaccess ". 
- 
-Bloquer une ou plusieurs adresse IP 
- 
-<​code>​Order Allow,Deny 
-Allow from all 
-Deny from 188.225.35.210 
-Deny from 77.92.147.147 
-Deny from 173.12.102.9 
-Deny from 72.249.126.116</​code>​ 
- 
-Bloquer la plage d'IP qui commencent par 188.225.35 
-<​code>​ 
-Order Allow,Deny 
-Allow from all 
-Deny from 189.167.89 
-</​code>​ 
- 
-Order Allow,Deny » sert à définir l'​ordre de priorité pour stipuler que toute personne qui n'est pas autorisée (Allow) est alors refusée (Deny) 
- 
-Allow from all » spécifie que tout le monde est autorisé jusqu'​à preuve du contraire. 
  
 En général, les fichiers .htaccess utilisent la même syntaxe que les fichiers de configuration principaux. Ce que vous pouvez mettre dans ces fichier est déterminé par la directive AllowOverride. En général, les fichiers .htaccess utilisent la même syntaxe que les fichiers de configuration principaux. Ce que vous pouvez mettre dans ces fichier est déterminé par la directive AllowOverride.
Ligne 280: Ligne 245:
 Pour relancer apache2 : Pour relancer apache2 :
 <code root>​systemctl restart apache2</​code>​ <code root>​systemctl restart apache2</​code>​
 +
 Pour recharger la configuration d'​apache2 : Pour recharger la configuration d'​apache2 :
 <code root>​systemctl reload apache2</​code>​ <code root>​systemctl reload apache2</​code>​
Ligne 299: Ligne 265:
 {{Allow}} définit les clients autorisés ​ {{Allow}} définit les clients autorisés ​
  
-{{Deny}} ​définit les clients interdits+{{Deny}} ​Définit quels hôtes ne sont pas autorisés à accéder au serveur
  
-{{Order}} ​définit ​lordre dans lequel ​évaluer ces deux directives.+{{Order}} ​Définit le statut d'​accès par défaut et l'ordre dans lequel ​les directives ​Allow et Deny sont évaluées.
  
-**si:** +[[https://​httpd.apache.org/docs/2.4/​fr/​mod/​mod_alias.html]]
-<​code>​Order Deny,​Allow +
-Deny from all +
-Allow from example.org +
-</code> +
-alors: tous les hôtes du domaine example.org ont l'​autorisation d'​accès ; tous les autres voient leur accès refusé.+
  
-**si:**+**-La doc apache dit:** 
 +<​note>​Les directives fournies par le module mod_access_compat sont devenues obsolètes depuis la refonte du module mod_authz_host. Mélanger d'​anciennes directives comme Order, Allow ou Deny avec des nouvelles comme Require est techniquement possible mais déconseillé. En effet, mod_access_compat a été conçu pour supporter des configurations ne contenant que des anciennes directives afin de faciliter le passage à la version 2.4. Voir le document upgrading pour plus de détails.</​note> ​
  
-<​code>​Order Allow,Deny 
-Allow from example.org 
-Deny from foo.example.org 
-</​code>​ 
-tous les hôtes du domaine example.org ont l'​autorisation d'​accès,​ sauf ceux du sous-domaine foo.example.org qui voient leur accès refusé. 
- 
-**Voir plus de détails ici** 
-[[https://​httpd.apache.org/​docs/​2.4/​fr/​sections.html]] 
  
 +- Les directives Allow et Deny permettent de spécifier quels clients sont ou ne sont pas autorisés à accéder au serveur, alors que la directive Order définit le statut ​           d'​accès par défaut, et détermine la manière dont les directives Allow et Deny interagissent entre elles.
  
 ====Quels outils pour la surveillance d’apache et les logs d’apache ?==== ====Quels outils pour la surveillance d’apache et les logs d’apache ?====
Ligne 338: Ligne 293:
  
 -Enfin, maintenez votre serveur à jour, et lisez la doc ici : -Enfin, maintenez votre serveur à jour, et lisez la doc ici :
-[[ +[[https://​httpd.apache.org/​docs/​2.4/​fr/​misc/​security_tips.html]]
-https://​httpd.apache.org/​docs/​2.4/​fr/​misc/​security_tips.html]]+
  
 -Surveillez vos journaux, même si les fichiers journaux ne consignent que des évènements qui se sont déjà produits, ils vous informeront sur la nature des attaques qui sont lancées contre le serveur et vous permettront de vérifier si le niveau de sécurité nécessaire est atteint. -Surveillez vos journaux, même si les fichiers journaux ne consignent que des évènements qui se sont déjà produits, ils vous informeront sur la nature des attaques qui sont lancées contre le serveur et vous permettront de vérifier si le niveau de sécurité nécessaire est atteint.
Ligne 358: Ligne 312:
  
 Il doit être lancé à partir d’une machine exécutant Apache car il fonctionne en traitant les fichiers de journaux situés dans /​var/​log/​apache Il doit être lancé à partir d’une machine exécutant Apache car il fonctionne en traitant les fichiers de journaux situés dans /​var/​log/​apache
 +
 +
 +**
 +la doc apache spécifie:​**
 +
 +"La première chose à faire lors de la mise en production d’un serveur Apache est de faire en sorte qu’il n’affiche pas l’ensemble de ses informations de versions afin d’éviter à tout attaquant potentiel de connaître trop d’informations sur sa machine cible."​
 +
 +-Pour cela deux directives sont à modifier.
 +-Ces deux directives se trouvent dans le fichier /​etc/​apache2/​conf.d/​security,​ que l’on édite :
 +soit dans /​etc/​apache2/​conf.d/​security ou dans etc/​apache2/​conf-available/​security.conf
 +
 +-si l'on a  ​
 +ServerTokens OS
 +* mis par défaut en général : le serveur affichera Apache, son numéro de version complet et son système d’exploitation Apache/​2.0.55 (Debian)
 +mettre la plus restrictive,​ Apache ne devrait afficher que Apache ;
 +ServerTokens Prod
 +
 +-si l'on a  ​
 +ServerTokens OS
 +* mis par défaut en général : le serveur affichera Apache, son numéro de version complet et son système d’exploitation Apache/​2.0.55 (Debian)
 +mettre ​
 +ServerSignature Off
 +et l'on n’affichera pas ces informations. ​
 +
 +On n’oublie pas de recharger la configuration d’Apache
 +
 +<code root>​service apache2 reload
 +</​code>​
 +
 +Voir plus de détails ici:
 +[[https://​httpd.apache.org/​docs/​2.4/​fr/​sections.html]]
 +
 +
 +
 +
 +
 +
 +
 +
  
 **c'​est loin, loin d’être complet, reportez vous à la doc d'​apache,​ très complète et volumineuse. **c'​est loin, loin d’être complet, reportez vous à la doc d'​apache,​ très complète et volumineuse.
utilisateurs/lagrenouille/tutos/le-serveur-apache2.1573025040.txt.gz · Dernière modification: 06/11/2019 08:24 par lagrenouille

Pied de page des forums

Propulsé par FluxBB