Sécuriser son serveur web

La mise en ligne de son site web ou même l’ouverture d’un port pour serveur implique que si vous pouvez y accéder d’internet, n’importe qui peut essayer de s’y connecter voire même peut y arriver. Il doit y avoir un minimum de chose mise en place pour sécuriser votre serveur web.

Après avoir installer le serveur web Apache, il y a quelques petites choses à mettre en plus pour le sécuriser un minimum.

Si vous avez un Raspberry, pensez à le sécuriser en suivant les étapes de cet article.

Cacher la version d’Apache et autres informations sensibles

Attention par défaut, Apache affiche des informations notamment la versions du système d’exploitation, il faut donc brouiller légèrement les pistes.

Editez le fichier : /etc/apache2.conf
Dans le fichier qui s’ouvre, modifiez l’argument de

ServerSignature

et mettre :

ServerSignature Off

Puis rechercher la ligne contenant :

ServerTokens

et mettre :

ServerTokens Prod

Restreindre l’accès aux seuls fichiers du répertoire web

Nous ne voulons pas que l’internaute puisse fouiller la racine du site (par inadvertance bien sur), Nous allons restreindre ses droits.
Dans /etc/apache2/sites-available/000-default, nous allons écrire :

<Directory />
     Order Deny,Allow
     Deny from all
     Options None
     AllowOverride None
</Directory>
<Directory /web>
     Order Allow,Deny
     Allow from all
</Directory>

Le premier directory se réfère à la racine de votre serveur web. Le seconde Directory fait référence à un de vos sites (si vous utilisez les hôtes virtuels). Comme ça vous pouvez configurer les accès aux différents espaces web que vous pourrez mettre en place.

Empêcher le parcours d’un répertoire

Cette option évitera à un petit malin un petit étourdi de venir voir le contenu de votre espace web.

<Directory /web>
     Order Allow,Deny
     Allow from all
     Options -indexes
</Directory>

Désactiver les inclusions côtés serveurs

<Directory /web>
     Order Allow,Deny
     Allow from all 
     Options -Indexes -Includes 
</Directory>

Désactiver l’exécution des scripts CGI

<Directory /web>
     Order Allow,Deny
     Allow from all
     Options -Indexes -Includes -ExecCGI
</Directory>

Empécher Apache de suivre les liens symboliques

<Directory /web>
     Order Allow,Deny
     Allow from all
     Options -Indexes -Includes -ExecCGI -FollowSymLinks
</Directory>

Empécher le téléchargement des fichiers .htaccess

AccessFileName .httpdoverride
<Files ~ "^\.ht">
     Order allow,deny
     Deny from all
</Files>

Voilà avec ça vous avez le minimum de configuration pour la sécurisation de votre serveur.

Laisser un commentaire