Revue :
- Tous
- Français
- Par mot clé
- Par site
- Le tagwall



Sommaires :
- Tendances
- Failles
- Virus
- Concours
- Reportages
- Acteurs
- Outils
- Breves
- Infrastructures
- Livres
- Tutoriels
- Interviews
- Podcasts
- Communiques
- Commentaires

Top :
- Ensemble
- Articles
- Revue
- Videos
- Auteurs


Articles :
- Par mot clé
- Par auteur
- Par organisme
- Le tagwall


Videos :
- Toutes
- Par mot clé
- Par site
- Le tagwall


Exostat :
:: Détails tests
:: Top Failles
:: Top Divers
:: Top Tests

Secumail :
- Secunia
- Full Disclosure
- Bugtraq
- DailyDave
- Vulnwatch
- Vulndiscuss
- FunSec
- Focus-IDS
- WebAppSec
- Security-Basis

RSS/XML :
- Articles
- Brèves
- Revue
- Revue FR
- Videos
- Secunia
- Full Disclosure
- Bugtraq
- DailyDave
- Vulnwatch
- Vulndiscuss
- FunSec
- Focus-IDS
- WebAppSec
- Security-Basis

RSS SecuObs :
- sécurité
- windows
- exploit
- réseau
- vulnérabilité
- système

RSS Revue :
- security
- microsoft
- windows
- vulnérabilité
- network
- google

RSS Videos :
- virus
- spyware
- vmware
- firmware
- biometric
- lockpicking









Tous
Français
TUTORIEL  
Tutorial : Installation sécurisée, automatisée en globalité ou manuelle de Apache pour Linux avec Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl , DSO & Mod_security avec les rêgles de l'IDS Snort


Par Xavier Poli, SecuObs.com
Le 03/05/2004

 


Navigation
Pages : 1 - 2 - 3 - 4 - 5 - 6 - 7
----------------------------------------

Les permissions se gérent à travers les fichiers .htaccess qui sont à placer dans le répertoire en question. La section définissant les .htaccess dans le fichier de configuration d'apache /usr/local/apache/conf/httpd.conf :

AccessFileName .htaccess
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>

Exemple de fichier .htaccess :

AuthUserFile /chemin/vers/.htpasswd
AuthName ByPassword
AuthType Basic

<Limit GET>
require user $user
</Limit>

Les logins & mots de passe sont stockés dans un fichier .htpasswd. Vous devez le placer impérativement hors des répertoires de votre site web. Vous devez générer un fichier .htpasswd avec la commande suivante, remplacer par $user par le login désiré puis entrez le mot de passe au prompt :

/usr/local/apache/bin/htpasswd -c /chemin/vers/.htpasswd $user

Si le fichier .htpasswd existe déjà, ne précisez pas l'option -c ni le fichier :
 

/usr/local/apache/bin/htpasswd $user

Vérifier la présence des lignes suivantes dans le fichier de configuration d'apache /usr/local/apache/conf/httpd.conf, si non présentes ou différentes, ajouter ou modifier les :

ServerSignature Off
ServerTokens Prod

Cela vous permet de ne pas divulguer d'informations confidentielles sur la version de votre server web. Pour parfaire cela vous devez également modifier les options suivante dans ce même fichier :

ErrorDocument 500 "erreur 500"
#ErrorDocument 404 /missing.html
ErrorDocument 400"erreur 400"
#ErrorDocument 404 /cgi-bin/missing_handler.pl
ErrorDocument 404 "erreur 404"
#ErrorDocument 402 http://www.example.com/subscription_info.html
ErrorDocument 402 "erreur 402"

Un Virtual Host ou serveur virtuel permet à un même serveur d'héberger, sur une même adresse IP, plusieurs sites différenciés par leur nom. La section d'un Virtual Host accessible en https doit être de la forme suivante :
<IfDefine SSL>
NameVirtualHost "votre ip":443
<VirtualHost "votre ip":443> ServerAdmin postmaster@site.com
DocumentRoot /usr/local/apache/www.site.com/www
ScriptAlias /cgi-bin /usr/local/apache/www.site.com/cgi-bin/
ServerName www.site.com
ErrorLog logs/www.site.com-error_log
CustomLog logs/www.site.com-access_log combined
SSLEngine on
SSLCipherSuite
ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key
SSLCACertificateFile /usr/local/apache/conf/ssl.crt/server.crt
<Files ~ "\.(cgi|shtml|phtml|php3?)$">
SSLOptions +StdEnvVars
</Files>
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog /usr/local/apache/logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost></IfDefine>


Changer "votre ip" par votre ip, privilégié à un nom de domaine pour éviter les problèmes en https en cas de panne de DNS ("domain name server" est un serveur offrant la conversion des noms de domaine en adresse IP ainsi que le reverse) et www.site.com par le nom de votre site (exemple = www.secuobs.com), ajouter chaque virtual host supplémentaire dans la section <IfDefine SSL></IfDefine>. Changez également le nom des certificats en fonction des votres.

Un virtual host http classique se présente de la manière suivante :

<VirtualHost www.site.com>
ServerAdmin postmaster@site.com
DocumentRoot /usr/local/apache/www.site.com/www/
ScriptAlias /usr/local/apache/www.site.com/cgi-bin/
ServerName www.site.com
ErrorLog logs/www.site.com-error_log
CustomLog logs/www.site.com-access_log combined
</VirtualHost>

L'ensemble des virtual host doit s'accompagner de la directive suivante (changer ip par votre ip), une seule directive pour l'ensemble des virtual host :

NameVirtualHost ip

Vérifier également la présence de la section suivante :

<IfDefine SSL>
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
</IfDefine>

Mais aussi de :

CustomLog /var/log/httpd/access_log combined


Vous pouvez utiliser le fichier httpd.conf donné en modèle i pour vous faire une idée de la configuration à apporter.
-----------------------------------------------------------------------------------------------------------------

Compiler puis installer php-4.3.6 en tant que module dynamique DSO :
:

cd /usr/src/
tar -zxvf php-4.3.6.tar.gz
cd php-4.3.6
./configure --with-mysql=/usr/local/mysql --with-apxs=/usr/local/apache/bin/apxs

make
make install
cp php.ini-dist /usr/local/lib/php.ini


Vous pouvez installer ce qui a trait à php d'un seul coup avec le fichier suivant. Nommez le php.sh, passez un chmod +x php.sh, placez le dans /usr/src/ puis éxécutez le avec la commande ./php.sh en vous plaçant au préalable dans /usr/src/ .

#!/bin/sh

cd /usr/src/
tar -zxvf php-4.3.6.tar.gz
cd php-4.3.6
./configure --with-mysql=/usr/local/mysql --with-apxs=/usr/local/apache/bin/apxs

make
make install
cp php.ini-dist /usr/local/lib/php.ini

PHP a été conçu pour vous permettre de configurer certaines options afin d'assurer la sécurité de vos systèmes, vous pouvez par exemple :

- vérifier les fichiers accédés avec le safe_mode,

- interdire l'utilisation de certaines commandes, disable_functions,

- accepter l'affichage de la bannière avec expose_php,

- max_execution_time et memory_limit pour empêcher les Dénis de Service DoS,

- magic_quotes_gpc mets des quotes dans les données reçues des cookies & formulaires en GET & POST.

- vous pouvez également interdire l'affichage des erreurs en cas de problème sur une page avec display_error.

L'ensemble se configure dans le fichier php.ini que vous venez de copier dans /usr/local/lib/ :

safe_mode = On
expose_php = Off
max_execution_time = 30
memory_limit = 8M
disable_functions =
magic_quotes_gpc = On
display_errors = Off
[SQL]
sql.safe_mode = On

Vérifier la présence des lignes suivantes dans leur section respective du fichier de configuration d'apache /usr/local/apache/conf/httpd.conf, sinon ajouter les :

LoadModule php4_module libexec/libphp4.so
AddModule mod_php4.c
AddType application/x-httpd-php .php .php3 .php4
AddType application/x-httpd-php-source .phps

Ajouter index.php, index.php3 & index.php4 dans la section suivante du fichier de configuration :

<IfModule mod_dir.c>
DirectoryIndex index.html index.htm index.php index.php3 index.php4
</IfModule>

Navigation
Pages : 1 - 2 - 3 - 4 - 5 - 6 - 7
----------------------------------------

 







Revue de presse francophone :
- SIP : la fin du PBX dans les centres d'appels
- Fibre optique : le retard français aux journées internationales de l'IDATE
- Qui vole un film, vole un boeuf
- Action policière contre le warez Français
- La mafia Napolitaine investit dans le warez
- SIP : la fin du PBX dans les centres de contacts
- Sécurité > Passerelles de sécurité : Finjan lève 22 millions de dollars
- Arrêt de Grande Chambre 12/11/2008
- Mesures provisoires accordées - 18/11/2008
- Arrêts récents - 14/11/2008
- Salon Infosecurity : les tendances
- Les spécifications de l'USB 3.0 rendues publiques
- Audience en novembre
- Symantec Backup Exec pour Windows Servers : Vulnérabilités Diverses
- HP OpenView Network Node Manager : Vulnérabilités Cross-Site Scripting

Mini-Tagwall
Revue de presse : security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server

+ de mots clés pour la revue de presse
Annuaires des videos : virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, kernel, malware, spammer, windows, iphone

+ de mots clés pour les videos

Dernier articles de SecuObs :
- Une vulnérabilité dans la pile TCP/IP des systèmes d'exploitation Microsoft Windows Vista
- Un système d’exploitation certifié EAL 6 commercialisé pour le secteur privé
- BotHunter une solution pour la détection des flux malveillants
- Netwitness Investigator, un outil de monitoring sous stéroïdes
- RepRap un projet Opensource de constructeur universel et de système de prototypage
- Des vulnérabilités découvertes dans plusieurs applications de gestion des flux VoIP
- IKAT un outil d'audit pour les terminaux des kiosques Internet
- Vxclass ou la classification de codes malveillants par isomorphisme graphique
- Des publicités Google Adsense pour le malware Antivirus XP 2008
- Des probabilités de visualisation des données en clair lors des connexions SSH

Top des articles de SecuObs
- WPA TKIP aurait été partiellement cassé
- Collecte d’informations et social engineering via les réseaux sociaux
- [Sécuriser un réseau sans fil - Partie 1] Introduction à la sécurité du WI-FI
- Rustock.C, un rootkit robuste
- Une nouvelle faille RPC dans les systèmes Windows

Top de la revue de presse
- 15 minutes pour casser une clé WPA TKIP
- Un logiciel pour dupliquer des clés à  distance
- Avis du CERTA : Bulletin d'actualité numéro 045 de l'année 2008
- scapy vs hping3 : spectrographe de distribution ISN
- VIPeers, un combiné Rapidshare et Bittorrent

Top de l'annuaire des videos
- metasploit 3 autopwn
- Fallout 3 Lockpicking tutorial
- HACK WINDOWS XP PASSWORD
- SSH into your iPod Touch/iPhone via USB on Windows!
- How to Remove Antivirus 2009 | Antivirus2009 Removal Guide

Revue de presse internationale :
- Microsoft dissed chipset before 'Vista Capable' changes
- Researchers find vulnerability in Windows Vista
- Firewall Testing Methodology & Webinar
- The Case of the Insecure Security Software
- The Case of the Unexpected PsList Error
- The Case of the Failed File Compression
- Vista Multimedia Playback and Network Throughput
- The Case of the Failed File Copy
- The Case of the Frozen Clock Gadget
- The Case of the Missing AutoPlay

Dernières brèves de SecuObs :
- Licence Checkpoint Zone Alarm Pro gratuite pour un an le 18 novembre 2008
- Version 3.0 du CD de secours F-Secure
- Appel de la dernière chance pour Gary McKinnon
- 20% de remise sur les certificats SSL VeriSign jusqu'au 31 mai 2008
- Vol de données à Harvard

Annuaire des videos
- whax
- Antispyware Adware Remover
- Demo 07: Ceelox, Inc. Scram
- Kirlian Camera Kaczynski Code / edit by Hipnosis Italy
- PS3 Firmware Update Video

Commentaires sur SecuObs :
- An Ad for DDoS Services - Network, Phone, Competition http://www
- How-to: The Bus Pirate, universal serial interface http://www.se
- FREE 1 Year BitDefender Antivirus 2009 Genuine License for EVERY
- Metasploit Framework 3.2 Released https://www.secuobs.com/secuma
- GPCode Ransom Trojan Decoder http://www.securescience.net/home/