FAQ by LinKuFF.com

Outils pour utilisateurs

Outils du site

Piste:
install:secureapache

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision 		Révision précédente
Prochaine révision Les deux révisions suivantes
install:secureapache [2011/04/13 21:42]
linkuff créée 		install:secureapache [2011/04/13 22:04]
linkuff
Ligne 1: Ligne 1:
-Apache est un serveur web très populaireperformant, et sa conception modulaire le dote d'une grande richesse fonctionnelleDécouvrez comment le sécuriser et le rôle de ses modules.+===== Cacher la version d'Apache et autres informations sensibles ===== 
 +Par défautApache affiche la version que vous utilisez, votre système d'exploitation, et d'autres informationsUne personne malveillante peut utiliser ces informations pour mieux cibler son attaque sur votre serveur, nous allons donc les cacher.
  
-  Le serveur... +**/etc/apache2/apache2.conf**
-Il est très facile de découvrir quel serveur tourne sur un site web comme le montre l'exemple suivant :+
  
-<code>$ telnet localhost 80 +Nota sur Apache/2.2.11 (entre autres, ubuntu 9.04ces directives sont à placer dans **/etc/apache2/conf.d/security** 
-Trying 127.0.0.1... +Mettez 
-Connected to localhost. +<code>ServerSignature Off 
-Escape character is '^]'+ServerTokens Prod</code>
-HEAD / HTTP/1.0 +
-HTTP/1.1 200 OK +
-Date: Sat, 02 Jun 2001 13:11:40 GMT +
-Server: Apache/1.3.14 (Unix (Red-Hat/Linux) PHP/4.0.3pl1 mod_perl/1.24 +
-Connection: close +
-Content-Type: text/html+
  
-Connection closed by foreign host.</code> 
- 
-Un pirate apprend que le serveur Apache tourne sous une distribution RedHat et que les langages Perl et PHP sont actifs. On limite la divulgation d'information en insérant dans le fichier de configuration, /etc/httpd/conf/httpd.conf pour une RedHat, la ligne ServerTokens Prod. Ainsi, la bannière Server: Apache/1.3.14 (Unix) (Red-Hat/Linux) PHP/4.0.3pl1 mod_perl/1.24 se limite à Server: Apache. Cette option n'apparaît pas toujours dans le fichier de configuration (enfin, c'est le cas pour ma RedHat et ma Mandrake...), alors ajoutez-la rapidement. 
- 
-Cela ne suffit toujours pas à masquer la version d'Apache : si vous demandez une page inexistante, Apache renvoie une page d'erreur 404 avec en bas de la page, le message Apache/1.3.14 Server at www.mon-serveur.org Port 80 qui révèle la version du serveur d'Apache. Pour empêcher cela, il faut désactiver l'insertion de la signature du serveur avec la commande ServerSignature Off. Utiliser ErrorDocument 404 /missing.html pour définir votre propre page d'erreur 404. 
  
   * Limitations contre les DOS   * Limitations contre les DOS
install/secureapache.txt · Dernière modification: 2021/07/27 20:51 de linkuff

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 3.0 Unported
CC Attribution-Noncommercial-Share Alike 3.0 Unported Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki