Sécurisation d’un serveur Web sur Debian

Sécurité

Dans ce tutoriel je vais vous proposer quelques pistes pour sécuriser votre serveur web.

Etape 1 : Configuration Apache2

Par défaut, le logiciel Apache affiche sa version, et d’autres informations correspondant à l’OS utilisé.
Voici un petit exemple d’un serveur web apache après une erreur 404 :

secu1

Dans le fichier [sh]/etc/apache2/conf.d/security[/sh]

Modifier les valeurs des champs suivant :

[sh]ServerSignature Off

ServerTokens Prod[/sh]

Etape 2 : Configuration de Phpmyadmin

Dans un premier temps vous pouvez supprimer le répertoire d’installation de phpmyadmin avec la commande suivante :

[sh]rm -rf /usr/share/phpmyadmin/setup/[/sh]

Nous pouvons aussi modifier l’aliase de phpmyadmin qui par défaut correspond à http://votre_ip/phpmyadmin/

Pour ce faire il faut éditer le fichier suivant : /etc/phpmyadmin/apache.conf

Et modifier la ligne suivante : Alias /usr/share/phpmyadmin

Exemple : Si Alias /phpmyadmin /usr/share/phpmyadmin devient Alias /phpadmin /usr/share/phpmyadmin/ vous aurez accès a phpmyadmin par le biais de cette url : http://votre_ip/phpadmin/

On peut aussi donner accès seulement à une adresse ip à l’interface de phpmyadmin grâce au fichier : /etc/apache2/conf.d/phpmyadmin.conf

secu2

Rajouter le code suivant :

[sh]Order deny,allow
Deny from all
Allow from votre_ip[/sh]

Une fois la configuration terminé il faut redémarrer le service apache2 pour que la configuration soit prise en compte :

[sh]/etc/init.d/apache2 reload[/sh]

Etape 3 : Sécurisation de php.ini

Comme apache, php fourni un certain nombre d’information sur sa version. Pour remédier à cela il vous suffit d’ouvrir le fichier suivant :

[sh]/etc/php5/apache2/php.ini[/sh]
et de mettre l’option expose_php à off
[sh]expose_php = off[/sh]

Si votre fichier php.ini n’est pas situé à cette endroit vous pouvez trouver son chemin grâce à cette commande :
[sh]find / -name « php.ini »[/sh]

Ceci est une liste non exhaustive, si vous avez d’autres idées permettant l’amélioration de la sécurité des services web je vous invite à les poster ci-dessous. Je les intégrerais à l’article.

Une réflexion sur « Sécurisation d’un serveur Web sur Debian »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.