Tag Archives: Apache

Protéger apache avec fail2ban

Cet article fait suite à l’article sur la sécuristion de son VPS, où l’on avait installé le service fail2ban et sécurisé le service SSH. On s’attaque maintenant à la protection d’Apache. Pour éloigner les relous qui essaie d’accéder à w00tw00t ou à phpMyAdmin, Il faut ajouter les deux filtres suivant dans le répertoire /etc/fail2ban/filter.d/. Fichier […]

Read more

Se construire un serveur de tuile OpenStreetMap

Après un discution avec Jean-Yvon Landrac (Orolia SAS) au State of the Map France 2017, à Avignon, j’ai eu envie d’implémenter mon propre serveur de cartographie. Comme je ne suis ni un debianeux ni un ubuntiste, le défi est de l’installer sur CentOS 7 ou Fedora. Pour construire mon propre serveur de tuiles OpenStreetMap (OSM), […]

Read more

WordPress et CSP: unsafe-inline et unsafe-eval (script-src)

Ou comment supprimer unsafe-inline et unsafe-eval de script-src dans l’en-tête HTTP Content-Security-Policy avec WordPress et obtenir un A+ sur securityheaders.io. Déjà, autant prévenir, ça va être long et pénible… Cela se fera à coup de petite modification, test, re petite modification. Oui modification est au singulier, car on ne change qu’un paramètre à la fois […]

Read more

Un petit point sur les options SSL et les en-têtes HTTP

Options générales ServerTokens définit ce qu’apache peut diffuser comme information à propos de lui-même. Le fanfaronnage est incompatible avec la sécurité. Prod: c’est la valeur la plus sécurisée et le serveur n’enverra que son nom: Server: Apache Major: le serveur n’enverra que son nom et son numéro de version majeur: Server: Apache/2 Minor: le serveur […]

Read more

Certificats SSL avec letsencrypt

  L’avantage avec letsencrypt, c’est que le seul pré-requis est d’être propriétaire du domaine (ou du sous domaine). Le nom DNS doit correspondre à l’hôte qui a lancé le processus de certification. dnf install letsencrypt On fait notre demande de certificat letsencrypt –text –email admin@example.com –domains www.example.com,example.com,apache.example.com –agree-tos –webroot –webroot-path /var/www/html certonly Il ne reste […]

Read more

Logguer l’IP/hôte distant quand on utilise mod_proxy

Par défaut, en passant par un proxy http, Apache loggue l’adresse IP du proxy et non celle à l’origine de la connexion dans les fichiers access.Pour résoudre ce problème, on va utiliser le module apache mod_remoteip.On active ce module en créant le fichier /etc/httpd/conf.modules.d/00-remoteip.conf LoadModule remoteip_module modules/mod_remoteip.so et on le configure dans le fichier /etc/httpd/conf.d/remoteip.conf […]

Read more

SSLCertificateChainFile obsolète

La directive de configuration d’apache SSLCertificateChainFile est maintenant dépréciée (à partir d’apache 2.4.8) pour spécifier un certificat intermédiaire. Le message d’avertissement nous demande de la remplacer par la directive SSLCertificateFile. Le problème est que cette directive est déjà renseignée avec notre certificat. La solution est triviale: concaténer les deux fichiers cat ssl.crt sub.class1.server.ca.pem > bundle.pem faire pointer […]

Read more