======Sécuriser Apache2======
~~NOCACHE~~
Attention, ce n'est pas exhaustif :-) 

====Cacher la version d'Apache2====

Permet de cacher la version d'Apache.\\
A mettre dans ///etc/apache2/apache2.conf//

<code apache>
ServerSignature Off
ServerTokens Prod
</code>


====Protéger les fichiers d'Apache2====

Cela va empêcher la navigation dans les fichiers des sites.\\
Normalement, il n'y aura aucun effet de bord.

Modifier **apache2.conf** comme ceci :

<code apache [enable_line_numbers="true", start_line_numbers_at="156"]>
<Directory />
	Options None
	Order deny,allow
	Deny from all
</Directory>

<Directory /var/www/>
	Options -Indexes +FollowSymLinks
	AllowOverride None
	Require all granted	
</Directory>
</code>

Puis dans chaque VirtualHosts comme ceci :

<code apache [enable_line_numbers="true", start_line_numbers_at="20"]>
<Directory "/var/www/XXX">
	Order allow,deny
	Allow from all
</Directory>
</code>

====Protéger le Brute Force====
Cela BAN les IP (avec IPTABLES) des personnes effectuant trop de requètes sur un même site.

Cela utilise un mod qu'il faut installer :

<code bash>
# apt install libapache2-mod-evasive
</code>

puis créer l'emplacement des logs :

<code bash>
# mkdir /var/log/mod_evasive && chown www-data:www-data /var/log/mod_evasive/
</code>

puis configurer le fichier de conf ///etc/apache2/mods-available/evasive.conf// :

<code apache evasive.conf>
<IfModule mod_evasive20.c>
	DOSHashTableSize 3097
	DOSPageCount  10
	DOSSiteCount  150
	DOSPageInterval 1
	DOSSiteInterval  1
	DOSBlockingPeriod  3600
	DOSLogDir   /var/log/mod_evasive
	DOSEmailNotify  hostname@domain.tld
	DOSWhitelist   127.0.0.1
</IfModule>
</code>

et pour finir activer le mod et redémarrer apache2

<code bash>
# a2enmod evasive && systemctl restart apache2 
</code>

plus d'info [[http://www.helicontech.com/ape/doc/mod_evasive.htm | ici]]