« Mémo Apache » : différence entre les versions

De Justine's wiki
Aller à la navigation Aller à la recherche
(Page créée avec « # Apache ## Installation / désinstallation ```sh # Installation sudo apt install apache2 # Déinstallation sudo apt remove apache2 # Déinstallation avec suppression... »)
 
Aucun résumé des modifications
 
(8 versions intermédiaires par la même utilisatrice non affichées)
Ligne 1 : Ligne 1 :
# Apache
[[Category:cheatsheet]]
 
= Apache =
## Installation / désinstallation
<pre>Installation / désinstallation
 
```sh
# Installation
# Installation
sudo apt install apache2
sudo apt install apache2


# Déinstallation
# Déinstallation
sudo apt remove apache2
sudo apt remove apache2


# Déinstallation avec suppression des fichiers de configuration
# Déinstallation avec suppression des fichiers de configuration
sudo apt purge apache2
sudo apt purge apache2</pre>
```
 
## Commandes de configuration


* Activer un module
== Commandes de configuration ==


Les modules disponibles se trouvent dans le répertoire `/etc/apache2/mods-available/`.
*Activer un module
 
<pre>Les modules disponibles se trouvent dans le répertoire /etc/apache2/mods-available/.
```sh
a2enmod <module>
a2enmod <module>


# Exemple
# Exemple
a2enmod ssl
a2enmod ssl</pre>
```


* Activer une configuraton
*Activer une configuraton


Les configurations disponibles se trouvent dans le répertoire `/etc/apache2/conf-available/`.
Les configurations disponibles se trouvent dans le répertoire /etc/apache2/conf-available/.
 
<pre>a2enconf <config>
```sh
a2enconf <config>


# Exemple
# Exemple
a2enconf php7.0-fpm
*a2enconf php7.0-fpm</pre>
```


* Activer un site
*Activer un site


Les sites disponibles se trouvent dans le répertoire `/etc/apache2/sites-available/`.
Les sites disponibles se trouvent dans le répertoire /etc/apache2/sites-available/
 
<pre>a2ensite <site>
```sh
a2ensite <site>


# Exemple
# Exemple
a2ensite default-ssl.conf
a2ensite default-ssl.conf</pre>
```


* Vérifier la validité de la configuration
*Vérifier la validité de la configuration
<pre>apachectl configtest</pre>


```sh
*Démarrer Apache
apachectl configtest
<pre>systemctl start apache2</pre>
```


* Démarrer Apache
*Stopper Apache
<pre>systemctl stop apache2</pre>


```sh
*Redémarrer Apache
systemctl start apache2
<pre>systemctl restart apache2</pre>
```


* Stopper Apache
*Recharger Apache
<pre>systemctl reload apache2</pre>


```sh
== Fichiers de configuration ==
systemctl stop apache2
```


* Redémarrer Apache
Exemple de VirtualHost basique avec HTTPS activé
 
<pre><VirtualHost *:80>
```sh
systemctl restart apache2
```
 
* Recharger Apache
 
```sh
systemctl reload apache2
```
 
## Fichiers de configuration
 
* Exemple de VirtualHost basique avec HTTPS activé
 
```xml
<VirtualHost *:80>
     ServerName  www.exemple.org
     ServerName  www.exemple.org
     ServerAlias exemple.fr web.exemple.org
     ServerAlias exemple.fr web.exemple.org
Ligne 112 : Ligne 82 :
     SSLCertificateKeyFile /etc/ssl/private/exemple.org_priv_key.pem
     SSLCertificateKeyFile /etc/ssl/private/exemple.org_priv_key.pem
     SSLCertificateFile    /etc/ssl/certs/exemple.org_cert.pem
     SSLCertificateFile    /etc/ssl/certs/exemple.org_cert.pem
</VirtualHost>
</VirtualHost></pre>
```
 
== Sécuriser davantage la configuration ==
 
Mozilla fournit un générateur de configuration TLS qui permet d'avoir facilement une sécurité convenable. Il faut savoir que plus vous durcissez la configuration TLS de vos sites, plus ceux-ci deviennent inaccessibles aux vieux clients. En fonction de votre contexte et votre modèle de menace, il va vous falloir trouver le bon compris entre sécurité renforcée et accessibilité.<br/> [https://mozilla.github.io/server-side-tls/ssl-config-generator/ https://mozilla.github.io/server-side-tls/ssl-config-generator/]
 
<br/> Si vous voulez durcir vos configurations TLS au maximum, BetterCrypto fournit un papier indiquant les paramètres à mettre en place pour différents services (Apache, NGINX, Postfix, Dovecot, etc.).<br/> [https://bettercrypto.org/static/applied-crypto-hardening.pdf https://bettercrypto.org/static/applied-crypto-hardening.pdf]
 
<br/> Si vous voulez tester la robustesse de votre configuration TLS, vous pouvez utiliser l'outil de de testssl.sh.<br/> [https://testssl.sh/testssl.sh https://testssl.sh/testssl.sh]
 
== Effectuer une redirection (à tester): ==
 
Issu de : https://httpd.apache.org/docs/2.4/fr/rewrite/avoid.html
 
<code class="module">[https://httpd.apache.org/docs/2.4/fr/mod/mod_alias.html mod_alias]</code> fournit les directives <code class="directive">[https://httpd.apache.org/docs/2.4/fr/mod/mod_alias.html#redirect Redirect]</code> et <code class="directive">[https://httpd.apache.org/docs/2.4/fr/mod/mod_alias.html#redirectmatch RedirectMatch]</code> qui permettent de rediriger une URL vers une autre. Plutôt que d'utiliser la directive <code class="directive">[https://httpd.apache.org/docs/2.4/fr/mod/mod_rewrite.html#rewriterule RewriteRule]</code> pour ce genre de redirection simple d'une URL ou d'une classe d'URLs vers une autre, on préfèrera l'utilisation de ces directives. En outre, avec <code>RedirectMatch</code>, vous pouvez inclure une expression rationnelle dans votre critère de redirection, ce qui vous permet de bénéficier de nombreux avantages de la directive <code>RewriteRule</code>.
 
Une utilisation courante de la directive <code>RewriteRule</code> est la redirection de toute une classe d'URLs. Par exemple, toutes les URLs faisant référence au répertoire <code>/un</code> doivent être redirigées vers <code>http://un.example.com/</code>, ou toutes les requêtes <code>http</code> doivent être redirigées vers <code>https</code>.
 
Pour ce faire, il est préférable d'utiliser la directive <code>Redirect</code>. Souvenez-vous que la directive <code>Redirect</code> conserve les informations relatives au chemin. En d'autres termes, la redirection d'une URL <code>/un</code> va aussi rediriger toutes les URLs de niveaux inférieurs comme <code>/un/deux.html</code> et <code>/un/trois/quatre.html</code>.
 
Pour rediriger les URLs sous <code>/un</code> vers <code>http://un.example.com/</code>, utilisez cette définition :
 
<syntaxhighlight lang="bash">
<VirtualHost *:80> ServerName www.example.com Redirect "/" "https://www.example.com/" VirtualHost>
<VirtualHost *:443> ServerName www.example.com # ... insérer ici la configuration SSL VirtualHost>
</syntaxhighlight>
 
Pour rediriger un nom d'hôte vers un autre nom d'hôte, par exemple <code>example.com</code> vers <code>www.example.com</code>, voir la méthode [https://httpd.apache.org/docs/2.4/fr/rewrite/remapping.html#canonicalhost Noms d'hôtes canoniques].


## Sécuriser davantage la configuration
Pour rediriger les URLs <code>http</code> vers <code>https</code>, utilisez cette définition :
<pre class="prettyprint lang-config prettyprinted" style=""><span class="pun"><</span><span class="tag">VirtualHost</span><span class="pln"> </span><span class="pun">*:</span><span class="lit">80</span><span class="pun">></span><span class="pln">
</span><span class="kwd">ServerName</span><span class="pln"> www</span><span class="pun">.</span><span class="pln">example</span><span class="pun">.</span><span class="pln">com
</span><span class="kwd">Redirect</span><span class="pln"> </span><span class="str">"/"</span><span class="pln"> </span><span class="str">"https://www.example.com/"</span><span class="pln">
</span><span class="pun"></</span><span class="tag">VirtualHost</span><span class="pun">></span><span class="pln">


[Mozilla](https://www.mozilla.org/fr/) fournit un générateur de configuration TLS qui permet d'avoir facilement une sécurité convenable. Il faut savoir que plus vous durcissez la configuration TLS de vos sites, plus ceux-ci deviennent inaccessibles aux vieux clients. En fonction de votre contexte et votre modèle de menace, il va vous falloir trouver le bon compris entre sécurité renforcée et accessbilité.
</span><span class="pun"><</span><span class="tag">VirtualHost</span><span class="pln"> </span><span class="pun">*:</span><span class="lit">443</span><span class="pun">></span><span class="pln">
</span><span class="kwd">ServerName</span><span class="pln"> www</span><span class="pun">.</span><span class="pln">example</span><span class="pun">.</span><span class="pln">com
</span><span class="com">#  ... insérer ici la configuration SSL</span><span class="pln">
</span><span class="pun"></</span><span class="tag">VirtualHost</span><span class="pun">></span></pre>


<https://mozilla.github.io/server-side-tls/ssl-config-generator/>
L'utilisation de la directive <code>RewriteRule</code> pour accomplir cette tâche peut se justifier s'il existe d'autres directives <code>RewriteRule</code> dans la même portée. En effet, lorsque des directives <code>Redirect</code> et <code>RewriteRule</code> se trouvent dans la même portée, les directives <code>RewriteRule</code> sont exécutées en premier, sans tenir compte de leur ordre d'apparition dans le fichier de configuration.


Si vous voulez durcir vos configurations TLS au maximum, [BetterCrypto](https://bettercrypto.org/) fournit un papier indiquant les paramètres à mettre en place pour différents services (Apache, NGINX, Postfix, Dovecot, etc.).
Dans le cas de la redirection ''http-vers-https'', l'utilisation de règles <code>RewriteRule</code> se justifie si vous n'avez pas accès au fichier de configuration principal, et devez donc accomplir cette tâche au sein d'un fichier <code>.htaccess</code>.


<https://bettercrypto.org/static/applied-crypto-hardening.pdf>
=Retirer les informations de la page de 404 concernant le serveur=
Par défaut, le 404 renvoie des informations sur le serveur pour les supprimer, il faut rajouter les lignes suivantes dans /etc/apache2/apache2.conf :


Si vous voulez tester la robustesse de votre configuration TLS, vous pouvez utiliser l'outil de de [testssl.sh](https://testssl.sh/).
ServerSignature Off
ServerTokens Prod


<https://testssl.sh/testssl.sh>
Puir redémarrer le service.

Dernière version du 22 juin 2022 à 10:04

Apache

Installation / désinstallation
# Installation
 sudo apt install apache2

# Déinstallation
 sudo apt remove apache2

# Déinstallation avec suppression des fichiers de configuration
 sudo apt purge apache2

Commandes de configuration

  • Activer un module
Les modules disponibles se trouvent dans le répertoire /etc/apache2/mods-available/.
a2enmod <module>

# Exemple
a2enmod ssl
  • Activer une configuraton

Les configurations disponibles se trouvent dans le répertoire /etc/apache2/conf-available/. 

a2enconf <config>

# Exemple
*a2enconf php7.0-fpm
  • Activer un site

Les sites disponibles se trouvent dans le répertoire /etc/apache2/sites-available/ 

a2ensite <site>

# Exemple
a2ensite default-ssl.conf
  • Vérifier la validité de la configuration
apachectl configtest
  • Démarrer Apache
systemctl start apache2
  • Stopper Apache
systemctl stop apache2
  • Redémarrer Apache
systemctl restart apache2
  • Recharger Apache
systemctl reload apache2

Fichiers de configuration

Exemple de VirtualHost basique avec HTTPS activé 

<VirtualHost *:80>
    ServerName  www.exemple.org
    ServerAlias exemple.fr web.exemple.org
    ServerAdmin admin@exemple.fr

    DocumentRoot /var/www/exemple.org

    <Directory /var/www/exemple.org>
        AllowOverride All
        Require all granted
    </Directory>
</VirtualHost>

<VirtualHost *:443>
    ServerName  www.exemple.org
    ServerAlias exemple.fr web.exemple.org
    ServerAdmin admin@exemple.fr

    DocumentRoot /var/www/exemple.org

    <Directory /var/www/exemple.org>
        AllowOverride All
        Require all granted
    </Directory>

    SSLEngine on
    SSLCertificateKeyFile /etc/ssl/private/exemple.org_priv_key.pem
    SSLCertificateFile    /etc/ssl/certs/exemple.org_cert.pem
</VirtualHost>

Sécuriser davantage la configuration

Mozilla fournit un générateur de configuration TLS qui permet d'avoir facilement une sécurité convenable. Il faut savoir que plus vous durcissez la configuration TLS de vos sites, plus ceux-ci deviennent inaccessibles aux vieux clients. En fonction de votre contexte et votre modèle de menace, il va vous falloir trouver le bon compris entre sécurité renforcée et accessibilité.
https://mozilla.github.io/server-side-tls/ssl-config-generator/


Si vous voulez durcir vos configurations TLS au maximum, BetterCrypto fournit un papier indiquant les paramètres à mettre en place pour différents services (Apache, NGINX, Postfix, Dovecot, etc.).
https://bettercrypto.org/static/applied-crypto-hardening.pdf


Si vous voulez tester la robustesse de votre configuration TLS, vous pouvez utiliser l'outil de de testssl.sh.
https://testssl.sh/testssl.sh

Effectuer une redirection (à tester):

Issu de : https://httpd.apache.org/docs/2.4/fr/rewrite/avoid.html

mod_alias fournit les directives Redirect et RedirectMatch qui permettent de rediriger une URL vers une autre. Plutôt que d'utiliser la directive RewriteRule pour ce genre de redirection simple d'une URL ou d'une classe d'URLs vers une autre, on préfèrera l'utilisation de ces directives. En outre, avec RedirectMatch, vous pouvez inclure une expression rationnelle dans votre critère de redirection, ce qui vous permet de bénéficier de nombreux avantages de la directive RewriteRule.

Une utilisation courante de la directive RewriteRule est la redirection de toute une classe d'URLs. Par exemple, toutes les URLs faisant référence au répertoire /un doivent être redirigées vers http://un.example.com/, ou toutes les requêtes http doivent être redirigées vers https.

Pour ce faire, il est préférable d'utiliser la directive Redirect. Souvenez-vous que la directive Redirect conserve les informations relatives au chemin. En d'autres termes, la redirection d'une URL /un va aussi rediriger toutes les URLs de niveaux inférieurs comme /un/deux.html et /un/trois/quatre.html.

Pour rediriger les URLs sous /un vers http://un.example.com/, utilisez cette définition :

<syntaxhighlight lang="bash"> <VirtualHost *:80> ServerName www.example.com Redirect "/" "https://www.example.com/" VirtualHost> <VirtualHost *:443> ServerName www.example.com # ... insérer ici la configuration SSL VirtualHost> </syntaxhighlight>

Pour rediriger un nom d'hôte vers un autre nom d'hôte, par exemple example.com vers www.example.com, voir la méthode Noms d'hôtes canoniques.

Pour rediriger les URLs http vers https, utilisez cette définition : 

<span class="pun"><</span><span class="tag">VirtualHost</span><span class="pln"> </span><span class="pun">*:</span><span class="lit">80</span><span class="pun">></span><span class="pln">
</span><span class="kwd">ServerName</span><span class="pln"> www</span><span class="pun">.</span><span class="pln">example</span><span class="pun">.</span><span class="pln">com
</span><span class="kwd">Redirect</span><span class="pln"> </span><span class="str">"/"</span><span class="pln"> </span><span class="str">"https://www.example.com/"</span><span class="pln">
</span><span class="pun"></</span><span class="tag">VirtualHost</span><span class="pun">></span><span class="pln">

</span><span class="pun"><</span><span class="tag">VirtualHost</span><span class="pln"> </span><span class="pun">*:</span><span class="lit">443</span><span class="pun">></span><span class="pln">
</span><span class="kwd">ServerName</span><span class="pln"> www</span><span class="pun">.</span><span class="pln">example</span><span class="pun">.</span><span class="pln">com
</span><span class="com">#  ... insérer ici la configuration SSL</span><span class="pln">
</span><span class="pun"></</span><span class="tag">VirtualHost</span><span class="pun">></span>

L'utilisation de la directive RewriteRule pour accomplir cette tâche peut se justifier s'il existe d'autres directives RewriteRule dans la même portée. En effet, lorsque des directives Redirect et RewriteRule se trouvent dans la même portée, les directives RewriteRule sont exécutées en premier, sans tenir compte de leur ordre d'apparition dans le fichier de configuration.

Dans le cas de la redirection http-vers-https, l'utilisation de règles RewriteRule se justifie si vous n'avez pas accès au fichier de configuration principal, et devez donc accomplir cette tâche au sein d'un fichier .htaccess.

Retirer les informations de la page de 404 concernant le serveur

Par défaut, le 404 renvoie des informations sur le serveur pour les supprimer, il faut rajouter les lignes suivantes dans /etc/apache2/apache2.conf : 

ServerSignature Off
ServerTokens Prod

Puir redémarrer le service.

Récupérée de « https://wiki.squi.fr/index.php?title=Mémo_Apache&oldid=2057 »