logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-11-2016 22:56:12

Orlando
Membre
Distrib. : Ubuntu 16.04 LTS Xenial Xerus
Noyau : Linux 4.4.0-34-generic
Inscription : 02-11-2016

Tuto DF : sécuriser Apache2 ?

Bonjour à tous smile

Je viens de prendre un abonnement OVH pour hébergé mes sites web sur un serveur virtuel : VPS SSD
Dessus j'ai installé la distrib Ubuntu 16.04 et le Cpanel ISP Config3 (installation LAMP inclus).
J'ai pu me connecter sans pb au Cpanel....

Sur les conseil du support OVH je suivais un tuto de DEBIAN FACILE pour sécuriser mon serveur Apache2, à partir de :
https://debian-facile.org/doc:reseau:ap … n-site-web

Mais en retour de la commande : root(@)vpsNUMBER.ovh.net: ~# nano /etc/apache2/conf.d/security

La fenêtre GNU nano s'ouvre et affiche ce commentaire : “Le fichier n'existe /etc/apache2/conf.d/security n'existe pas“
Il n'y a pas non plus de répertoire "conf.d“

Quelqu'un pour m'aider (a comprendre) !? hmm

Dernière modification par Orlando (02-11-2016 22:56:52)


Le meilleur reste à construire !

Hors ligne

#2 02-11-2016 23:31:18

leonlemouton
Adhérent(e)
Distrib. : Debian Stable
(G)UI : Mate ∨ LXQt
Inscription : 14-08-2012

Re : Tuto DF : sécuriser Apache2 ?

Il y a des infos ici je crois : https://www.skyminds.net/serveur-dedie- … -8-jessie/
et ici : https://doc.ubuntu-fr.org/modsecurity

Le module security est-il activé ?

a2enmod security2


service apache2 restart


Leonlemouton
°(")°

Hors ligne

#3 03-11-2016 00:27:10

greenmerlin
Membre
Lieu : 127.0.0.1
Distrib. : Archlinux/TinycoreLinux(CorePure 64-6.4.1)/Jessie
Noyau : 4.2.2-1 / 4.4
(G)UI : wmaker
Inscription : 23-01-2016

Re : Tuto DF : sécuriser Apache2 ?

Bonsoir,

effectivement le Wiki a besoin d'une petite maj smile

le repertoire

/etc/apache2/conf.d

a été "remplacé" (enfin pas vraiment) par /etc/apache2/conf-available entre autres

tu trouvera tous les changements ICI -> https://wiki.debian.org/Apache/PackagingFor24

bon courage


" La plus importante et la plus négligée de toutes les conversations, c'est l'entretien avec soi-même. "
Chancelier Oxenstiern.

536920766f7573206172726976657220c3a0206c69726520c3a7612c20632765737420717565206e6f757320706172746167656f6e73206c6573206dc3aa6d65732063656e747265732064e28099696e74c3a972c3aa74732e

Hors ligne

#4 03-11-2016 05:05:00

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Tuto DF : sécuriser Apache2 ?

Mis Obsolète en attendant la mise à jour...

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#5 03-11-2016 08:59:37

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : Tuto DF : sécuriser Apache2 ?

Salut smile

Le module security2 n'est pas installé par défaut qui plus est. Il faut donc le faire avant de passer les commandes données par leonlemouton

apt-get install libapache2-mod-security2


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

Hors ligne

#6 06-11-2016 11:11:24

Orlando
Membre
Distrib. : Ubuntu 16.04 LTS Xenial Xerus
Noyau : Linux 4.4.0-34-generic
Inscription : 02-11-2016

Re : Tuto DF : sécuriser Apache2 ?

Merci !

Grace à vos réponses, j'ai pu me faire un workflow pour sécuriser Apache2, sur la base de ce POST UBUNTU sur lequel vous m'avez orienté et que je vais suivre pas à pas : https://doc.ubuntu-fr.org/modsecurity

Faut il pour autant mettre à la poubelle toutes les étapes du Wiki “Sécuriser Apache2“ qui ne serait plus à jour (mais qui est toujours en ligne) ?

Est-ce que les sous sections de ce Wiki listées ci-dessous (non traitées dans le post Ubuntu...) sont aussi A JETER comme l'était la section pour laquelle je vous ai solliciter la fois précédente (rappel) : https://debian-facile.org/doc:reseau:ap … on-site-web ?

A JETER OU PAS ! EN ATTENDANT UNE MAJ....
******* Nouvel utilisateur :
https://debian-facile.org/doc:reseau:ap … teme-linux
******* Modif de fichiers :
https://debian-facile.org/doc:reseau:ap … -available
******* Appartenance des droit de fichiers :
https://debian-facile.org/doc:reseau:ap … par-apache

Par exemple, est-ce qu'il est toujours conseillé de créer un utilisateur - non root - pour être tranquille lors des uploads et dowloads de fichiers en SFTP, ou pour protéger le noyau de l'OS du serveur distant lors de l'exécution de certaines lignes de commandes en SSH ... !?

Votre aide reste la bienvenue ! smile
Et j'ai hâte de tester l'upload de mes sites et applications web sur mon nouveau serveur distant VPS SSD 1 (ovh)... !

Le meilleur reste à construire !

Hors ligne

#7 06-11-2016 11:42:17

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : Tuto DF : sécuriser Apache2 ?

Salut smile

Merci pour tes remarques, elles ont permis de préciser le cadre d'application de ce tuto, à savoir Apache2.2 et Debian 7, version LTS encore supportée, donc, à garder en ligne wink Un tuto sur Apache2.4 sous Debian 8 est en cours de préparation.

Orlando a écrit :

Par exemple, est-ce qu'il est toujours conseillé de créer un utilisateur - non root - pour être tranquille lors des uploads et dowloads de fichiers en SFTP, ou pour protéger le noyau de l'OS du serveur distant lors de l'exécution de certaines lignes de commandes en SSH ... !?

Oui, toujours. D'une manière générale, il ne faut faire en root que ce qui est absolument nécessaire.


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

Hors ligne

#8 08-11-2016 02:15:38

Orlando
Membre
Distrib. : Ubuntu 16.04 LTS Xenial Xerus
Noyau : Linux 4.4.0-34-generic
Inscription : 02-11-2016

Re : Tuto DF : sécuriser Apache2 ?

Merci,

Ce post ubuntu sur lequel vous m'avez orienté, semble adapté mais incomplet pour sécuriser mon serveur Apache2.4.18  :
https://doc.ubuntu-fr.org/modsecurity.......

Je vais donc installer “Modsecurity“. Ensuite je créerai un nouvel utilisateur “non root" comme expliquer dans le Wiki pour Apache2.2  :
https://debian-facile.org/doc:reseau:ap … teme-linux

Mais à propos des autres sections de ce Wiki (voir mon post précédent), si elles ne sont plus adaptées pour mon serveur Apache2.4,
est-ce qu'il sera suffisamment sécurisé en attendant le nouveau tuto Apache2.4 sous Debian 8 (en cours de préparation) ?

Est-ce que je peux être prévenu quand le tuto sera prêt ?

Keoz smile

Le meilleur reste à construire !

Hors ligne

Pied de page des forums