Revues :
- Presse
- Presse FR
- Vidéos
- Twitter
- Secuobs



Abonnez vous � Nessus Professional Feed !

Sponsors :

Sommaires :
- Tendances
- Failles
- Virus
- Concours
- Reportages
- Acteurs
- Outils
- Breves
- Infrastructures
- Livres
- Tutoriels
- Interviews
- Podcasts
- Communiques
- Commentaires

Revue Presse:
- Tous
- Francophone
- Par mot clé
- Par site
- Le tagwall


Top bi-hebdo:
- Ensemble
- Articles
- Revue
- Videos
- Twitter
- Auteurs

Articles :
- Par mot clé
- Par auteur
- Par organisme
- Le tagwall


Videos :
- Toutes
- Par mot clé
- Par site
- Le tagwall


Twitter :
- Tous
- Par mot clé
- Par compte
- Le tagwall


Commentaires :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques

Secumail :
- Secunia
- Full Disclosure
- Bugtraq
- DailyDave
- Vulnwatch
- Vulndiscuss
- FunSec
- Focus-IDS
- WebAppSec
- Security-Basis

RSS/XML :
- Articles
- Brèves
- Commentaires
- Revue
- Revue FR
- Videos
- Twitter
- Secunia
- Full Disclosure
- Bugtraq
- DailyDave
- Vulnwatch
- Vulndiscuss
- FunSec
- Focus-IDS
- WebAppSec
- Security-Basis

RSS SecuObs :
- sécurité
- exploit
- windows
- microsoft
- réseau
- attaque

RSS Revue :
- security
- microsoft
- windows
- hacker
- attack
- network

RSS Videos :
- vmware
- security
- virus
- biometric
- windows
- lockpicking

RSS Twitter :
- security
- linux
- botnet
- attack
- metasploit
- cisco

RSS Comments :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques

RSS OPML :
- Français
- International
[an error occurred while processing this directive]
TUTORIEL  


Tutorial : Installation sécurisée, automatisée en globalité ou manuelle de Apache pour Linux avec Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl , DSO & Mod_security avec les rêgles de l'IDS Snort

Note : Ce tutorial a été mis à jour le 16 juin 2004 à 15:38 pour la sortie de la version stable 1.8 de mod_security + activation par défaut du chroot dans la partie automatisée.

Par Xavier Poli, SecuObs.com
Le 03/05/2004



 

Navigation
Pages : 1 - 2 - 3 - 4 - 5 - 6 - 7
----------------------------------------

Ce tutoriel va vous permettre d'installer, de configurer et de sécuriser ces éléments. Nous vous conseillons pour gagner du temps de d'abord le lire ou tout du moins suvoler dans son intégralité afin d'en comprendre les tenants et les aboutissants. De nombreuses procédures d'automatisation vous sont également proposées. L'ensemble à installer est constitué de la sorte :

- Le serveur web Apache initialement basé sur le code de NCSA httpd 1.3, il est aujourd'hui plus évolué & considéré comme un standart autant en terme de performance, de fonctionnalité et de rapidité. C'est le serveur web le plus répandu (cf. Netcraft).

- Le patch apache-patch_HARD_SERVER_LIMIT.txt qui vous permettra d'accepter 512 clients en simultané plutot que les 256 par défaut en augmentant le hard server limit dans le fichier /usr/src/apache-1.3.31/src/include/httpd.h, qui est limité pour des sites de volume moyen ou important. Le contenu du patch :

--- httpd.h-old Wed Jan 31 00:58:19 2001
+++ httpd.h Wed Jan 31 01:09:25 2001
@@ -314,7 +314,7 @@
#ifdef WIN32
#define HARD_SERVER_LIMIT 1024
#else
-#define HARD_SERVER_LIMIT 256
+#define HARD_SERVER_LIMIT 512
#endif
#endif

- Openssl offre les librairies et les fichiers d'entête nécessaires à mod_ssl. Il permet également de créer des certificats client ou serveur. SSL ("Secure Socket Layer") est un protocole permettant la transmission sécurisée de données tout en assurant l'authentification, la confidentialité et l'intégrité de ces données.

- Mod_ssl est un module Apache qui offre des fonctions de chiffrement fort aux serveurs Apache à travers les protocoles SSL v2/v3 et TLS v1. TLS ("Transport Layer Security") est un protocol de sécurisation de la couche transport.

- PHP ("Hypertext Preprocesseur" ou "Pre-HyperTexte-Processor") pour créer des pages web dynamiques et les interfacer par exemple avec vos bases de données.

- Mysql qui est un serveur de bases de données SQL ("Structured query language") ; le SQL est un langage de définition, de manipulation et de contrôle de données.

- Mod_security est un module pour Apache qui permet de mettre en place un système de détection d'intrusion et de prévention pour vos applications web à travers un moteur s'interfaçant directement avec le serveur apache.

- Mod_rewrite offre la possibilité de réécrire à la volée les localisateurs de type URL ("Uniform Resource Locator").

- Mod_perl est un module pour Apache qui y incorpore un interpréteur Perl. Apache peut alors directement éxécuter les scripts basés sur ce language. La bibliothèque d'exploitation Perl est lié au serveur apache par l'intermédiaire de Mod_perl. L'éxécution des CGI notamment est rendue plus rapide par le fait qu'un interpréteur externe n'a pas à être appelé.

Vous trouverez également un script PERL snort2modsec.pl qui vous permettra de convertir les rêgles du systèmes Opensource de détection d'intrusion Snort en rêgles pour mod_security, rêgles obtenues directement depuis la release courante snortrules-snapshot-CURRENT sur le site de Snort.

Snort est un système Opensource de détection d'intrusion sur les réseau IP qui permet de recevoir des alertes contre toutes tentatives d'intrusion dans votre réseau, vous avez également la possibilité dans Snort d'effectuer des actions lors d'une detection.

PERL (Practical Extraction and Report Language) est un language de programmation gratuit, interprété, portable qui a pour réputation sa robustesse, sa fléxibilité et sa simplicité d'utilisation face à des language plus complexes.

Ce tutorial est soumis au changement dans le temps des versions de chacun de ces logiciels en fonction des hotfixs notamment au niveau de la récupération des sources, le principe restant essentiellement le même.

-----------------------------------------------------------------------------------------------------------------

Dans un premier temps, vous devez récupérer les sources de l'ensemble de ces programmes snortrules-snapshot-CURRENT, snort2modsec.pl, mod_security-1.7.6, apache_1.3.31, mod_ssl-2.8.18-1.3.31, php-4.3.6, openssl-0.9.7d, mysql-3.23.58, mod_perl-1.0:

cd /usr/src/

rm -fr /usr/src/snort2modsec.pl
rm -fr /usr/src/mod_security-1.8.tar.gz
rm -fr /usr/src/apache_1.3.31.tar.gz
rm -fr /usr/src/mod_ssl-2.8.18-1.3.31.tar.gz
rm -fr /usr/src/php-4.3.6.tar.gz
rm -fr /usr/src/openssl-0.9.7d.tar.gz
rm -fr /usr/src/mysql-3.23.58.tar.gz
rm -fr /usr/src/snortrules-snapshot-CURRENT.tar.gz
rm -fr /usr/src/apache-patch_HARD_SERVER_LIMIT.txt
rm -fr /usr/src/mod_perl-1.0-current.tar.gz

rm -fr /usr/src/mod_security-1.8
rm -fr /usr/src/apache_1.3.31
rm -fr /usr/src/mod_ssl-2.8.18-1.3.31
rm -fr /usr/src/php-4.3.6
rm -fr /usr/src/openssl-0.9.7d
rm -fr /usr/src/mysql-3.23.58
rm -fr /usr/src/rules
rm -fr /usr/src/apache-patch_HARD_SERVER_LIMIT.txt
rm -fr /usr/src/mod_perl-1.29/

wget http://www.modsecurity.org/documentation/snort2modsec.pl
wget http://www.modsecurity.org/download/mod_security-1.8.tar.gz
wget http://apache.crihan.fr/dist/httpd/apache_1.3.31.tar.gz
wget http://www.modssl.org/source/mod_ssl-2.8.18-1.3.31.tar.gz
wget http://fr2.php.net/get/php-4.3.6.tar.gz/from/fr.php.net/mirror
wget http://www.openssl.org/source/openssl-0.9.7d.tar.gz
wget ftp://ftp.inria.fr/pub/MySQL/Downloads/MySQL-3.23/mysql-3.23.58.tar.gz
wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
wget http://www.delouw.ch/linux/apache-patch_HARD_SERVER_LIMIT.txt
wget http://perl.apache.org/dist/mod_perl-1.0-current.tar.gz

Vous pouvez tout récupérer d'un coup avec le fichier suivant. Nommez le wget.sh, passez un chmod +x wget.sh, placer le dans /usr/src/ puis éxécutez le avec la commande ./wget.sh en vous plaçant au préalable dans /usr/src/.

#!/bin/sh

rm -fr /usr/src/snort2modsec.pl
rm -fr /usr/src/mod_security-1.8.tar.gz
rm -fr /usr/src/apache_1.3.31.tar.gz
rm -fr /usr/src/mod_ssl-2.8.18-1.3.31.tar.gz
rm -fr /usr/src/php-4.3.6.tar.gz
rm -fr /usr/src/openssl-0.9.7d.tar.gz
rm -fr /usr/src/mysql-3.23.58.tar.gz
rm -fr /usr/src/snortrules-snapshot-CURRENT.tar.gz
rm -fr /usr/src/apache-patch_HARD_SERVER_LIMIT.txt
rm -fr /usr/src/mod_perl-1.0-current.tar.gz

rm -fr /usr/src/mod_security-1.8
rm -fr /usr/src/apache_1.3.31
rm -fr /usr/src/mod_ssl-2.8.18-1.3.31
rm -fr /usr/src/php-4.3.6
rm -fr /usr/src/openssl-0.9.7d
rm -fr /usr/src/mysql-3.23.58
rm -fr /usr/src/rules
rm -fr /usr/src/apache-patch_HARD_SERVER_LIMIT.txt
rm -fr /usr/src/mod_perl-1.29/

wget http://www.modsecurity.org/documentation/snort2modsec.pl
wget http://www.modsecurity.org/download/mod_security-1.8.tar.gz
wget http://apache.crihan.fr/dist/httpd/apache_1.3.31.tar.gz
wget http://www.modssl.org/source/mod_ssl-2.8.18-1.3.31.tar.gz
wget http://fr2.php.net/get/php-4.3.6.tar.gz/from/fr.php.net/mirror
wget http://www.openssl.org/source/openssl-0.9.7d.tar.gz
wget ftp://ftp.inria.fr/pub/MySQL/Downloads/MySQL-3.23/mysql-3.23.58.tar.gz
wget http://www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gz
wget http://www.delouw.ch/linux/apache-patch_HARD_SERVER_LIMIT.txt
wget http://perl.apache.org/dist/mod_perl-1.0-current.tar.gz

-----------------------------------------------------------------------------------------------------------------

Passez maintenant à l'installation de openssl-0.9.7d :

rm -fr /usr/local/ssl/
cd /usr/src/
tar -zxvf openssl-0.9.7d.tar.gz
chown -R root.root openssl-0.9.7d
cd openssl-0.9.7d
./config shared
make
make install
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
ldconfig

Vous pouvez installer ce qui a trait à openssl d'un seul coup avec le fichier suivant. Nommez le openssl.sh, passer un chmod +x openssl.sh, placez le dans /usr/src/ puis éxécutez le avec la commande ./openssl.sh en vous plaçant au préalable dans /usr/src/

#!/bin/sh
rm -fr /usr/local/ssl/
cd /usr/src/
tar -zxvf openssl-0.9.7d.tar.gz
chown -R root.root openssl-0.9.7d
cd openssl-0.9.7d
./config shared
make
make install
echo "/usr/local/ssl/lib" >> /etc/ld.so.conf
ldconfig


-----------------------------------------------------------------------------------------------------------------

Le serveur de base de donnée mysql-3.23.58 ensuite :

groupadd mysql
adduser -g mysql -d /usr/local/mysql mysql
rm -fr /usr/local/mysql/
mkdir /usr/local/mysql/
mkdir /usr/local/mysql/data/
mkdir /usr/local/mysql/tmp/
mkdir /usr/local/mysql/var/
cd /usr/src/
tar -zxvf mysql-3.23.58.tar.gz
cd mysql-3.23.58
./configure --prefix=/usr/local/mysql --localstatedir=/usr/local/mysql/data --with-unix-socket-path=/usr/local/mysql/tmp/mysql.socket
make
make install
chown -R mysql.mysql /usr/local/mysql
chmod 700 /usr/local/mysql/data
chmod 700 /usr/local/mysql/var
chmod 755 /usr/local/mysql/tmp

Vous pouvez installer ce qui a trait à mysql d'un seul coup avec le fichier suivant, nommez le mysql.sh, passez un chmod +x mysql.sh, placer le dans /usr/src/ puis éxécutez le avec la commande ./mysql.sh en vous plaçant au préalable dans /usr/src/

#!/bin/sh

groupadd mysql
adduser -g mysql -d /usr/local/mysql mysql
rm -fr /usr/local/mysql/
mkdir /usr/local/mysql/
mkdir /usr/local/mysql/data/
mkdir /usr/local/mysql/tmp/
mkdir /usr/local/mysql/var/
cd /usr/src/
tar -zxvf mysql-3.23.58.tar.gz
cd mysql-3.23.58
./configure --prefix=/usr/local/mysql --localstatedir=/usr/local/mysql/data --with-unix-socket-path=/usr/local/mysql/tmp/mysql.socket
make
make install
chown -R mysql.mysql /usr/local/mysql
chmod 700 /usr/local/mysql/data
chmod 700 /usr/local/mysql/var
chmod 755 /usr/local/mysql/tmp


Navigation
Pages : 1 - 2 - 3 - 4 - 5 - 6 - 7
----------------------------------------

 





Abonnez vous � Nessus Professional Feed !


Revue de presse francophone :
- securite RSF choisit Linagora pour sécuriser son site Internet
- CERTA-2010-ACT-010 Bulletin d'actualité numéro 010 de l'année 2010 12 mars 2010
- CERTA-2010-AVI-119 Vulnérabilité dans dpkg 12 mars 2010
- CERTA-2010-AVI-120 Vulnérabilités dans Apple Safari 12 mars 2010
- Le smart grid trouve lentement sa place dans le secteur énergétique public
- Acquisition de GE Security par United Technologies Corp.
- Les professionnels adoptent le cloud computing mobile
- Sur les réseaux sociaux, les tags font le lien entre utilisateurs
- Check Point ABRA tout son bureau sur clé USB
- Les services dans les nuages font-ils courir un risque à l'entreprise
- Citrix lance XenApp 6
- Deux nouveaux routeurs VPN gigabit DrayTek
- CA SiteMinder Cross Site Scripting via WebWorks Help
- Le marketing en ligne, une alternative crédible à l'achat d'argent virtuel
- Le code pour exploiter une vulnérabilité dans Internet Explorer 6 et 7 rendu public

Dernier articles de SecuObs :
- Edenwall obtient une subvention de la DGA
- Imposter 0.9 une plateforme de phishing ciblant les navigateurs Web
- Une faille dans l’implémentation RSA de OpenSSL
- Flint un scanner pour simuler, vérifier et nettoyer les règles de filtrage
- SET 0.4.1 - Social Engineering Toolkit - une plateforme de Social Engineering
- 100 000 dollars pour le Pwn2own 2010
- Un botnet qui rapporte gros
- Webraider offre un reverse shell contre une simple injection SQL
- Des nouvelles du traité secret ACTA
- Keimpx un outil d'audit pour les réseaux Microsoft Windows

Revue de presse internationale :
- Inspector Gadget Automated Extraction of Proprietary Gadgets from Malware Binaries PDF
- Seven Firefox Plug-ins That Improve Online Privacy
- Three new options emerge for managing smartphones in the enterprise
- British Airways IT worker charged for 'terrorism plot'
- dreamlive Auktionshaus script news.php id SQL Injection Vulnerability
- Apple Updates Safari for 16 Flaws
- Teaching Old Dogs New Tricks Why Both Pentesters and Business Management Must Adapt
- Good Artists Copy, Great Artists Steal What I Couldn't Say
- Friday s Food for Thought LifeLock s Exploiting Consumer Fears and Not Delivering Will Not Be Tolerated
- How It Works The Hurt Locker s Bomb-Fighting Suit
- Herding Cats March The Business of Security
- ????,????
- The threat landscape is changing, AV fails to adjust
- The Nature of Funded Threats
- Download SUPERAntiSpyware Free Edition Kill Tough Malware

Annuaire des videos
- US to Use Immigration to Push National Biometric ID
- smartphone botnet article
- Understanding botnet
- Official sqlmap video demonstration 10
- Official sqlmap video demonstration 12
- Creating running and deleting files with Device File names
- Using SSLStrip to proxy an SSL connection and sniff it
- FIREWALL LINUX IPTABLES Disquete de Boot do BrazilFW www professorramos com
- RSA Conference USA 2010 Opening Ceremony
- Shmoocon 2010 Blackberry Mobile Spyware The Monkey Steals the Berries 4 6
- RSA Conference USA 2010 Remarks from Secretary Janet Napolitano US Homeland Security 1
- Shmoocon 2010 GPU vs CPU Supercomputing Security Shootout 1 3
- RSA Conference USA 2010 Shifts in the Security Paradigm What Cloud and Collaboration Demand
- Malware Analyzis Sandbox and PC Remote Control over Twitter Hak5
- Biometric ID Card Storm Troopers Raid Philly Bars

Revue Twitter
- Mmm, Western Union phishing. Of course I'll give you all my info to get 200K!
- [Video] Finding Linux Rootkits using Rkhunter http://securitytube.net/Finding-Linux-Rootkits-using-Rkhunter-video.aspx
- [Video] HNNCast for the first week of September, 2009 http://securitytube.net/HNNCast-for-the-first-week-of-September,-2009-video.aspx
- [Video] BTCrack (Bluetooth Pass Phrase Bruteforcer) http://securitytube.net/BTCrack-(Bluetooth-Pass-Phrase-Bruteforcer)-video.aspx
- [Video] USB Beer ( Funny Video ) http://securitytube.net/USB-Beer-(-Funny-Video-)-video.aspx
- [Video] Backtrack Series 7 (Cracking APless WEP Protected Network Using Hirte Attack) http://bit.ly/pNP5d
- [Video] W3af Basics (Web Application Attack and Audit Framework) http://bit.ly/5lzqQK
- [Video] Reverse Engineering 101 http://securitytube.net/Reverse-Engineering-101-video.aspx
- http://bit.ly/95OLyJ [Blog Spam] Teaching Old Dogs New Tricks Why Both Pentesters and Business Management Must Adapt , and yes it is a rant
- RT @fseek Real reason why most companies don?t waste their time with Linux: http://bit.ly/dbxEek (good point on binary compatibility..)

Mini-Tagwall
Revue de presse : security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone

+ de mots clés pour la revue de presse
Annuaires des videos : vmware, security, virus, biometric, windows, lockpicking, password, botnet, metasploit, tutorial, attack, crypt, linux

+ de mots clés pour les videos
Revue Twitter : security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall

+ de mots clés pour la revue Twitter



Top bi-hebdo des articles de SecuObs
- Apprendre à parler Skype pour mieux le faire taire !
- Des nouvelles du traité secret ACTA
- Une faille dans l’implémentation RSA de OpenSSL
- SET 0.4.1 - Social Engineering Toolkit - une plateforme de Social Engineering
- Keimpx un outil d'audit pour les réseaux Microsoft Windows
- 100 000 dollars pour le Pwn2own 2010
- Webraider offre un reverse shell contre une simple injection SQL
- Les acteurs de la lutte contre la cybercriminalité
- Keimpx un outil d'audit pour les réseaux Microsoft Windows
- Imposter 0.9 une plateforme de phishing ciblant les navigateurs Web

Top bi-hebdo de la revue de presse
- Sea World killer whale attack video leads to malware
- How to Jailbreak iPhone 3.1.3 IPSW with PwnageTool 3.1.5
- Dev Team Confirms iPhone 3.1.3 IPSW Jailbreak
- Rozlyn Papa sex tape rumours lead to malware
- FREE Kaspersky Internet Security 2010 Activation Code Valid for 6 Months
- Bajolet a-t-il dénoncé des agents de la DGSE
- installer backtrack 4 [tuto]
- Nouveau dictionnaire WPA Livebox
- Windows 7 browser choice screen March 1 Office 2010 ballot screen Highly critical Firefox vulnerability Google CEO Schmidt knows everything about you
- Flight simulator, c est périmé

Top bi-hebdo de l'annuaire des videos
- Comment creer un server botnet!!!!(Réseau de pc zombies)
- install MacOSX Snow Leopard in Windows PC using Vmware Workstation as virtual machine
- Blaze botnet in action www opensc ws
- Windows Backtrack 4 in Virtualbox Part 1
- Basic Squid Proxy Server Tutorial Part 3 of 3
- Running Wireshark on Mac OS X 10 6 Snow Leopard
- Ch0ry Euro iPhone 3G 3GS 30 Hack WIFI key
- Windows XP Pro SP3 in VMWare off iSCSI Target using gPXE over 802.11n
- SSLstrip wmv
- Avast Internet Security 5 0 396 Final Free Full Download Licensed with Serial Key

Top bi-hebdo de la revue Twitter
- Wirshark + SSH = Wireshark Remote Capturing - http://www.howtoforge.com/wireshark-remote-capturing (via @welias)
- RT @FrikiFeeds: The newbie's guide to hacking the Linux kernel | TuxRadar Linux http://dlvr.it/6sQp
- RT @manicode: Very interesting Java ESAPI-like library coming out of Apache : http://bit.ly/9poefg
- Exploit for Apache mod_isapi = 2.2.14 Dangling Pointer (CVE2010-0425) vulnerability ported to Metasploit http://bit.ly/ctDQjk
- Watching Metasploit Tricks 1 from @mubix - http://vimeo.com/9695470
- Discoverer: Automatic Protocol Reverse Engineering from Network Traces #pdf http://ow.ly/1gHd1
- RT @InfoSec208: The Virtual USB Analyzer: http://bit.ly/dpXc5F
- RT @damienmiller: Help test the new OpenSSH release (it's a big one): http://bit.ly/avLI9B #openbsd #openssh
- Product Watch: Free Tool Cleans Up Rusty, Unsafe Firewall Settings - Dark Reading http://bit.ly/d8hGhS #Security
- Apache releases version 2.2.15 with 5 security fixes including OpenSSL issue. http://bit.ly/9OGP6H

Top des articles les plus commentés
- [Metasploit 2.x – Partie 1] Introduction et présentation
- Microsoft !Exploitable un nouvel outil gratuit pour aider les développeurs à évaluer automatiquement les risques
- Webshag, un outil d'audit de serveur web
- Les navigateurs internet, des mini-systèmes d’exploitation hors de contrôle ?
- CAINE un Live[CD|USB] pour faciliter la recherche légale de preuves numériques de compromission
- [Renforcement des fonctions de sécurité du noyau Linux – Partie 1] Présentation
- Microsoft Gazelle, mini-OS virtuel basé sur MashupOS pour une navigation Web sécurisée par isolation
- Yellowsn0w un utilitaire de déblocage SIM pour le firmware 2.2 des Iphone 3G
- Nessus 4.0 placé sous le signe de la performance, de l'unification et de la personnalisation
- [Hacking Hardware - Partie 1] - Introduction et présentation