Securiser Apache

From Tuxunix
Jump to: navigation, search

Sécuriser un serveur Apache

Éditez le fichier "/etc/apache2/apache2.conf"

et définissez les variables comme ceci :

Par défaut, Apache affiche la version que vous utilisez, OS, etc... Cacher les informations:

ServerSignature Off
ServerTokens Prod
TraceEnable Off


Vérifier que le serveur se lance bien avec l'utilisateur www-data:

User www-data
Group www-data


Empêcher le parcours d'un répertoire (options -Indexes):

<Directory /var/www/toto> 
   Order Allow,Deny 
   Allow from all 
   Options -Indexes 
</Directory>


Empêcher le téléchargement de fichiers .htaccess :

AccessFileName .httpdoverride 
<Files ~ "^\.ht"> 
   Order allow,deny 
   Deny from all Satisfy All 
</Files>


Interdire une IP précise :

Order Allow,
Deny Allow from all 
Deny from 192.168.0.5


Désactiver l'exécution de scripts CGI :

Options -ExecCGI


Penser aussi a désactiver les modules apache non utilise.

Il est également possible de chrooter l'environnement apache: (Activer le module "mod_security")

SecChrootDir /chroot/apache


  • Bloquer les scanners de failles de sécurité :
RewriteEngine on
RewriteCond %{QUERY_STRING} ^(.*)http(\:|\%3A)(.*)$
ReWriteRule .* - [F]