wiki.draak.fr

# Good Practices:

L'idée principale est de faire attention a ce que vous exposez comme informations public sur votre serveur Apache2.

# 1. Masquer la version d'apache

Dans le fichier de sécurité, ici Debian pour l'exemple, /etc/apache2/conf-available

Ensuite, passer ServerTokens en Prod au lieu d'OS ainsi que Server Signature à Off au lieu de On.

N'hesitez pas a le faire dés le début sur votre environnement de dév pour vérifier que cela ne posera pas de problemes. J'ai vu une fois que la directive ServerTokens a Prod avait posé un soucis mais j'ai plus en tête quoi. 😄

# 2. Utilisez HTTPS

Il faut vivre avec son temps et le http sur port 80 c'est fini. Surtout aujourd'hui avec des solutions tel que let's encrypt qui vous permet d'avoir des certificats SSL/TLS gratuitement. Pourquoi s'en priver? Donc passez vos sites en https et pensez a faire une redirection permanente de l'http vers l'https.

# 3. Gérer vos redirections

Pour vos redirection, utilisez la directive redirect et non pas rewrite (pour du http vers https par exemple). Pourquoi? parce que la doc dit explicitement que mod_rewrite ne devrait être utiliser qu'en dernier recours et en gros, quand vous n'avez pas accès a la configuration du vhost.

# 4. Configurer vos Vhost correctement

Cette section est incomplètes. Attention aux options Indexes, cela permet de lister le contenue d'un dossier. Il faudra précisé un No Indexes dés que possible. J'ai déjà vu Apache l'avoir par défaut sur le répertoire par défaut (exemple '/var/www'), autant dire que c'est pas top top.

Attention aux protocoles de chiffrements de vos sites web. Par exemple si TLS1 est encore toléré par certains, préconisez TLS2 mais dites non à SSL.

# 5. Pas de choses inutiles

  • Faites le tour de l'ensemble des modules non utilisés et désactivés les.
  • Nettoyez vos fichiers de config et vhost.
  • Les mises à jours régulières, encore et toujours.

# 6. Consultez la doc!

La doc apache est plutot simple et généralement clair, je vous conseille de la consulter dés que possible. Nombre de tuto ne suivent pas ce qui est préconisé dans la docs et c'est plutôt triste.

Let's encrypt