Table des matières

Sécuriser Apache2

Attention, ce n'est pas exhaustif :-)

Cacher la version d'Apache2

Permet de cacher la version d'Apache.
A mettre dans /etc/apache2/apache2.conf 

ServerSignature Off
ServerTokens Prod

Protéger les fichiers d'Apache2

Cela va empêcher la navigation dans les fichiers des sites.
Normalement, il n'y aura aucun effet de bord.

Modifier apache2.conf comme ceci : 

  1. <Directory />
  2. 	Options None
  3. 	Order deny,allow
  4. 	Deny from all
  5. </Directory>
  6.  
  7. <Directory /var/www/>
  8. 	Options -Indexes +FollowSymLinks
  9. 	AllowOverride None
  10. 	Require all granted	
  11. </Directory>

Puis dans chaque VirtualHosts comme ceci : 

  1. <Directory "/var/www/XXX">
  2. 	Order allow,deny
  3. 	Allow from all
  4. </Directory>

Protéger le Brute Force

Cela BAN les IP (avec IPTABLES) des personnes effectuant trop de requètes sur un même site.

Cela utilise un mod qu'il faut installer : 

# apt install libapache2-mod-evasive

puis créer l'emplacement des logs : 

# mkdir /var/log/mod_evasive && chown www-data:www-data /var/log/mod_evasive/

puis configurer le fichier de conf /etc/apache2/mods-available/evasive.conf :

evasive.conf
<IfModule mod_evasive20.c>
	DOSHashTableSize 3097
	DOSPageCount  10
	DOSSiteCount  150
	DOSPageInterval 1
	DOSSiteInterval  1
	DOSBlockingPeriod  3600
	DOSLogDir   /var/log/mod_evasive
	DOSEmailNotify  hostname@domain.tld
	DOSWhitelist   127.0.0.1
</IfModule>

et pour finir activer le mod et redémarrer apache2 

# a2enmod evasive && systemctl restart apache2

plus d'info ici