Sécurité apache

reeth · Le 17/08/2007, à 10:11

Bonjour,

Je suis en train de monter un serveur web (apache2) sous debian lenny. Je souhaite sécuriser mon serveur, et pour ce faire, j'utilise ce tutoriel (comme configurer un serveur sous ubuntu et debian c'est la même chose, je pense que mon post ne dérangera pas). Malheureusement, pour sécuriser le serveur il fait pouvoir installer et activer le module mod-security. Or celui-ci est absent des dépôts.

=>J'ai trouvé ce paquet mais fonctionnera-t-il sous lenny??
=>Dois-je télécharger les sources et les compiler moi-même??
=>Ce module est-il obsolète?
=>Que me conseillez-vous quand à la sécurisation de mon serveur web (wikis, blogs...) qui soit un temps soit peu à jour.

Merci

ps :
Mon sources.list :

#
# deb cdrom:[Debian GNU/Linux testing _Lenny_ - Official Snapshot i386 NETINST Binary-1 20070512-20:52]/ lenny contrib main

#deb cdrom:[Debian GNU/Linux testing _Lenny_ - Official Snapshot i386 NETINST Binary-1 20070512-20:52]/ lenny contrib main

deb http://ftp.fr.debian.org/debian/ lenny main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ lenny main contrib non-free

deb http://security.debian.org/ lenny/updates main contrib non-free
deb-src http://security.debian.org/ lenny/updates main contrib non-free

Les paquets disponibles :

libapache2-mod-annodex           libapache2-mod-defensible        libapache2-mod-musicindex        libapache2-mod-ruby
libapache2-mod-apreq2            libapache2-mod-dnssd             libapache2-mod-neko              libapache2-mod-scgi
libapache2-mod-auth-kerb         libapache2-mod-encoding          libapache2-mod-perl2             libapache2-mod-shib
libapache2-mod-auth-mysql        libapache2-mod-evasive           libapache2-mod-perl2-dev         libapache2-mod-speedycgi
libapache2-mod-auth-pam          libapache2-mod-fastcgi           libapache2-mod-perl2-doc         libapache2-mod-vhost-hash-alias
libapache2-mod-auth-pgsql        libapache2-mod-fcgid             libapache2-mod-php4              libapache2-mod-vhost-ldap
libapache2-mod-auth-plain        libapache2-mod-geoip             libapache2-mod-php5              libapache2-mod-wsgi
libapache2-mod-auth-shadow       libapache2-mod-jk                libapache2-mod-proxy-html        libapache2-modxslt
libapache2-mod-auth-sys-group    libapache2-mod-jk2               libapache2-mod-python            libapache2-redirtoservername
libapache2-mod-bt                libapache2-mod-ldap-userdir      libapache2-mod-python2.2         libapache2-redirtoservname
libapache2-mod-bt-dev            libapache2-mod-line-edit         libapache2-mod-python2.3         libapache2-request-perl
libapache2-modbt-perl            libapache2-mod-macro             libapache2-mod-python2.4         libapache2-svn
libapache2-mod-cband             libapache2-mod-mime-xattr        libapache2-mod-python-doc        libapache2-webauth
libapache2-mod-chroot            libapache2-mod-mono              libapache2-mod-removeip          libapache2-webkdc

Dernière modification par reeth (Le 19/08/2007, à 17:19)

reeth · Le 17/08/2007, à 20:45

up

reeth · Le 18/08/2007, à 14:55

up

reeth · Le 20/08/2007, à 12:23

Personne ne peux me dire si c'est une méthode obsolète??

Kyoku57 · Le 20/08/2007, à 12:27

Que veux tu sécuriser sur ton serveur ? Restreindre l'accès par mot de passe ?
En tout cas, si tu as rajouté les dépots, il te suffira de les récupérer avec apt-get et de les configurer...pas besoin, je pense de t'amuser à recompiler quoique ce soit.

Concernant la sécurité d'Apache, tout dépend ce que tu veux faire avec.

Un site Web ?
Plusieurs sites ?

Déjà pour débuter, tu peux te faire un Wiki, accessible uniquement sur le reseau local et par mot de passe, afin de stocker tous les modifications que tu réalises sur ton serveur. (Accès, mot de passe, configuration matériel et logiciel). C'est plutot pratique pour garder des traces écrites.

Pour le reste, depuis qu'on fait des virtual hosts sous Apache2, c'est assez sympa. Tu peux empecher le listing de tes repertoires aussi sur ton serveur, pour n'afficher QUE les pages Web et rien d'autres (Options -Indexes).

Sinon je vois pas.....il faudrait préciser tes objectifs

Dernière modification par Kyoku57 (Le 20/08/2007, à 12:33)

reeth · Le 20/08/2007, à 23:13

Se que je souhaites sécuriser c'est le serveur apache :
empêcher d'accéder à certains fichiers
empêcher l'écriture sur le disque
empêcher de trop nombreuses connexions...

Mais la seule chose que je demande ici c'est si ce paquet apache2-mod-security est toujours d'actualité (j'ai trouvé des tutos l'utilisant). Sinon, si toute la sécurité autour d'apache se fait autrement (directement, avec les virtualhosts...) et que ce paquet n'est plus maintenu, alors mon problème est résolut

Kyoku57 · Le 21/08/2007, à 14:40

Pour empecher les écritures sur le disques à partir du Web, pas besoin d'apache si tu tournes sous linux. Il suffit pour cela d'activer les droits sur ton repertoire de façon à ce que www-data n'écrive pas dedans. Tu peux même restreindre les droits en lectures, donc, faut pas se gener (utilisation de chown et chmod)

Apparement, sur le site d'Apache, je ne vois pas de mod-security, donc pour moi, il ne doit plus être d'actualité.
http://httpd.apache.org/docs/2.2/new_features_2_0.html

Pour restreindre le nombre de connection, regarde voir dans le apache.conf

##
## Server-Pool Size Regulation (MPM specific)
## 

# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule mpm_prefork_module>
    StartServers          5
    MinSpareServers       5
    MaxSpareServers      10
    MaxClients          150
    MaxRequestsPerChild   0
</IfModule>

# worker MPM
# StartServers: initial number of server processes to start
# MaxClients: maximum number of simultaneous client connections
# MinSpareThreads: minimum number of worker threads which are kept spare
# MaxSpareThreads: maximum number of worker threads which are kept spare
# ThreadsPerChild: constant number of worker threads in each server process
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule mpm_worker_module>
    StartServers          2
    MaxClients          150
    MinSpareThreads      25
    MaxSpareThreads      75 
    ThreadsPerChild      25
    MaxRequestsPerChild   0
</IfModule>

Je pense que tu peux jouer avec MaxClients et MaxRequestsPerChild

Je débute avec Apache2 et donc, je ne peux que t'inviter à lire la doc d'Apache2 pour de plus amples informations.

Bon courage

reeth · Le 21/08/2007, à 19:14

Non, mais je pense que j'ai fait le maximum pour sécuriser mon serveur (j'ai suivit tout un tas de tutoriels) et je n'ai plus grand chose à ajouter. Si le module security n'existe plus, cela veux dire que le tutoriel que j'avais lu dessus (le seul) est dépassé. Sinon, si tu as des sites sympa sur la sécurité d'apache, tu peux toujours m'en faire part Merci de ton coup de mains

ps : mes sources :

ubuntu-fr biensur
un site intéressant mais un peu vieux, la plupart des modifications faites le sont d'origine à l'heure actuelle
léa-linux, assez complet
un site en anglais

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 17/08/2007, à 10:11

Sécurité apache

#2 Le 17/08/2007, à 20:45

Re : Sécurité apache

#3 Le 18/08/2007, à 14:55

Re : Sécurité apache

#4 Le 20/08/2007, à 12:23

Re : Sécurité apache

#5 Le 20/08/2007, à 12:27

Re : Sécurité apache

#6 Le 20/08/2007, à 23:13

Re : Sécurité apache

#7 Le 21/08/2007, à 14:40

Re : Sécurité apache

#8 Le 21/08/2007, à 19:14

Re : Sécurité apache

Pied de page des forums