- Accueil
- » Forum
- » Serveurs
- » Sécurité apache
Pages : 1
#1 Le 17/08/2007, à 10:11
- reeth
Sécurité apache
Bonjour,
Je suis en train de monter un serveur web (apache2) sous debian lenny. Je souhaite sécuriser mon serveur, et pour ce faire, j'utilise ce tutoriel (comme configurer un serveur sous ubuntu et debian c'est la même chose, je pense que mon post ne dérangera pas). Malheureusement, pour sécuriser le serveur il fait pouvoir installer et activer le module mod-security. Or celui-ci est absent des dépôts.
=>J'ai trouvé ce paquet mais fonctionnera-t-il sous lenny??
=>Dois-je télécharger les sources et les compiler moi-même??
=>Ce module est-il obsolète?
=>Que me conseillez-vous quand à la sécurisation de mon serveur web (wikis, blogs...) qui soit un temps soit peu à jour.
Merci
ps :
Mon sources.list :
#
# deb cdrom:[Debian GNU/Linux testing _Lenny_ - Official Snapshot i386 NETINST Binary-1 20070512-20:52]/ lenny contrib main
#deb cdrom:[Debian GNU/Linux testing _Lenny_ - Official Snapshot i386 NETINST Binary-1 20070512-20:52]/ lenny contrib main
deb http://ftp.fr.debian.org/debian/ lenny main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ lenny main contrib non-free
deb http://security.debian.org/ lenny/updates main contrib non-free
deb-src http://security.debian.org/ lenny/updates main contrib non-free
Les paquets disponibles :
libapache2-mod-annodex libapache2-mod-defensible libapache2-mod-musicindex libapache2-mod-ruby
libapache2-mod-apreq2 libapache2-mod-dnssd libapache2-mod-neko libapache2-mod-scgi
libapache2-mod-auth-kerb libapache2-mod-encoding libapache2-mod-perl2 libapache2-mod-shib
libapache2-mod-auth-mysql libapache2-mod-evasive libapache2-mod-perl2-dev libapache2-mod-speedycgi
libapache2-mod-auth-pam libapache2-mod-fastcgi libapache2-mod-perl2-doc libapache2-mod-vhost-hash-alias
libapache2-mod-auth-pgsql libapache2-mod-fcgid libapache2-mod-php4 libapache2-mod-vhost-ldap
libapache2-mod-auth-plain libapache2-mod-geoip libapache2-mod-php5 libapache2-mod-wsgi
libapache2-mod-auth-shadow libapache2-mod-jk libapache2-mod-proxy-html libapache2-modxslt
libapache2-mod-auth-sys-group libapache2-mod-jk2 libapache2-mod-python libapache2-redirtoservername
libapache2-mod-bt libapache2-mod-ldap-userdir libapache2-mod-python2.2 libapache2-redirtoservname
libapache2-mod-bt-dev libapache2-mod-line-edit libapache2-mod-python2.3 libapache2-request-perl
libapache2-modbt-perl libapache2-mod-macro libapache2-mod-python2.4 libapache2-svn
libapache2-mod-cband libapache2-mod-mime-xattr libapache2-mod-python-doc libapache2-webauth
libapache2-mod-chroot libapache2-mod-mono libapache2-mod-removeip libapache2-webkdc
Dernière modification par reeth (Le 19/08/2007, à 17:19)
Hors ligne
#2 Le 17/08/2007, à 20:45
- reeth
Re : Sécurité apache
up
Hors ligne
#3 Le 18/08/2007, à 14:55
- reeth
Re : Sécurité apache
up
Hors ligne
#4 Le 20/08/2007, à 12:23
- reeth
Re : Sécurité apache
Personne ne peux me dire si c'est une méthode obsolète??
Hors ligne
#5 Le 20/08/2007, à 12:27
- Kyoku57
Re : Sécurité apache
Que veux tu sécuriser sur ton serveur ? Restreindre l'accès par mot de passe ?
En tout cas, si tu as rajouté les dépots, il te suffira de les récupérer avec apt-get et de les configurer...pas besoin, je pense de t'amuser à recompiler quoique ce soit.
Concernant la sécurité d'Apache, tout dépend ce que tu veux faire avec.
Un site Web ?
Plusieurs sites ?
Déjà pour débuter, tu peux te faire un Wiki, accessible uniquement sur le reseau local et par mot de passe, afin de stocker tous les modifications que tu réalises sur ton serveur. (Accès, mot de passe, configuration matériel et logiciel). C'est plutot pratique pour garder des traces écrites.
Pour le reste, depuis qu'on fait des virtual hosts sous Apache2, c'est assez sympa. Tu peux empecher le listing de tes repertoires aussi sur ton serveur, pour n'afficher QUE les pages Web et rien d'autres (Options -Indexes).
Sinon je vois pas.....il faudrait préciser tes objectifs
Dernière modification par Kyoku57 (Le 20/08/2007, à 12:33)
Hors ligne
#6 Le 20/08/2007, à 23:13
- reeth
Re : Sécurité apache
Se que je souhaites sécuriser c'est le serveur apache :
empêcher d'accéder à certains fichiers
empêcher l'écriture sur le disque
empêcher de trop nombreuses connexions...
Mais la seule chose que je demande ici c'est si ce paquet apache2-mod-security est toujours d'actualité (j'ai trouvé des tutos l'utilisant). Sinon, si toute la sécurité autour d'apache se fait autrement (directement, avec les virtualhosts...) et que ce paquet n'est plus maintenu, alors mon problème est résolut
Hors ligne
#7 Le 21/08/2007, à 14:40
- Kyoku57
Re : Sécurité apache
Pour empecher les écritures sur le disques à partir du Web, pas besoin d'apache si tu tournes sous linux. Il suffit pour cela d'activer les droits sur ton repertoire de façon à ce que www-data n'écrive pas dedans. Tu peux même restreindre les droits en lectures, donc, faut pas se gener (utilisation de chown et chmod)
Apparement, sur le site d'Apache, je ne vois pas de mod-security, donc pour moi, il ne doit plus être d'actualité.
http://httpd.apache.org/docs/2.2/new_features_2_0.html
Pour restreindre le nombre de connection, regarde voir dans le apache.conf
##
## Server-Pool Size Regulation (MPM specific)
##
# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule mpm_prefork_module>
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 150
MaxRequestsPerChild 0
</IfModule>
# worker MPM
# StartServers: initial number of server processes to start
# MaxClients: maximum number of simultaneous client connections
# MinSpareThreads: minimum number of worker threads which are kept spare
# MaxSpareThreads: maximum number of worker threads which are kept spare
# ThreadsPerChild: constant number of worker threads in each server process
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule mpm_worker_module>
StartServers 2
MaxClients 150
MinSpareThreads 25
MaxSpareThreads 75
ThreadsPerChild 25
MaxRequestsPerChild 0
</IfModule>
Je pense que tu peux jouer avec MaxClients et MaxRequestsPerChild
Je débute avec Apache2 et donc, je ne peux que t'inviter à lire la doc d'Apache2 pour de plus amples informations.
Bon courage
Hors ligne
#8 Le 21/08/2007, à 19:14
- reeth
Re : Sécurité apache
Non, mais je pense que j'ai fait le maximum pour sécuriser mon serveur (j'ai suivit tout un tas de tutoriels) et je n'ai plus grand chose à ajouter. Si le module security n'existe plus, cela veux dire que le tutoriel que j'avais lu dessus (le seul) est dépassé. Sinon, si tu as des sites sympa sur la sécurité d'apache, tu peux toujours m'en faire part Merci de ton coup de mains
ps : mes sources :
ubuntu-fr biensur
un site intéressant mais un peu vieux, la plupart des modifications faites le sont d'origine à l'heure actuelle
léa-linux, assez complet
un site en anglais
Hors ligne
Pages : 1