« LINUX:HTTP - httpd.conf » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| (Une version intermédiaire par le même utilisateur non affichée) | |||
| Ligne 4 : | Ligne 4 : | ||
---- | ---- | ||
=But= | =But= | ||
Par défaut, le fichier "/etc/httpd/conf/httpd.conf" constitue le point d'entrée du paramétrage d'Apache. | Par défaut, le fichier "/etc/httpd/conf/httpd.conf" constitue le point d'entrée du paramétrage d'Apache. Nous allons le modifier à notre convenance. | ||
| Ligne 70 : | Ligne 70 : | ||
'''''IncludeOptional conf.d/*.conf''''' | '''''IncludeOptional conf.d/*.conf''''' | ||
---- | ---- | ||
Nous allons éliminer toutes les lignes marquées en gras et italique | Nous allons éliminer toutes les lignes marquées en gras et italique: | ||
* Comme noté plus haut, nous n'allons pas utiliser le répertoire "/var/www" pour y mettre le code de nos sites. | * Comme noté plus haut, nous n'allons pas utiliser le répertoire "/var/www" pour y mettre le code de nos sites. | ||
* En conséquence, le paramètre "DocumentRoot" spécifiant le point d'entrée de notre site Web sera mis autre part. | * En conséquence, le paramètre "DocumentRoot" spécifiant le point d'entrée de notre site Web sera mis autre part. | ||
* De même, nous n'allons pas utiliser de CGI personnel. | * De même, nous n'allons pas utiliser de CGI personnel. Ce point d'entrée est souvent la cible de tentatives de piratage. | ||
* Enfin, nous utiliserons d'autres répertoires de paramétrage complémentaires que le répertoire d'origine "/etc/httpd/conf.d/*.conf" | * Enfin, nous utiliserons d'autres répertoires de paramétrage complémentaires que le répertoire d'origine "/etc/httpd/conf.d/*.conf". | ||
Par contre, il faut garder: | |||
* le chargement des modules selon le paramétrage du répertoire "/etc/https/conf.modules.d". | |||
* la protection de l'ensemble du système par la section "<Directory />". | |||
* le non accès aux fichiers ".ht*" tels les fichiers ".htaccess" qui contiennent un paramétrage d'Apache spécifique au répertoire du site qui le contienne. | |||
* les directives concernant les "mimes" qui font la liaison entre une extension de fichier et le type de traitement qui lui est appliqué. | |||
On remarque que: | |||
* le port d'écoute est "80"; ce numéro est par convention le port classique au niveau mondial mais il peut être adapté pour une utilisation spécifique cachée. | |||
* le processus Apache est sous l'égide de l'utilisateur "apache" (et du groupe "apache"). | |||
* la directive "DirectoryIndex index.html" qui indique qu'en l'absence de script à ouvrir indiqué dans l'URL d'appel, ce sera le script portant le nom "index.html" qui sera recherché. Ce fichier est un classique mais d'autres peuvent être ajoutés; par exemple, PHP utilise pour sa part le fichier "index.php". | |||
* le fichier journal normal est "/etc/httpd/logs/access_log" qui est un lien vers le fichier "/var/log/httpd/access_log". | |||
* le fichier journal des erreurs est "/etc/httpd/logs/error_log" qui est un lien vers le fichier "/var/log/httpd/error_log". | |||
* la section concernant le format de sortie des journaux est à adapter selon vos préférences et des logiciels qui vont les exploiter. | |||
=Ajouts et adaptations= | |||
Pour une question de sécurité, nous avons ajouté les directives suivantes en tête du fichier "httpd.conf": | |||
---- | |||
ServerTokens Prod | |||
ServerSignature Off | |||
Protocols h2 h2c http/1.1 | |||
ServerLimit 64 | |||
Header always unset Server | |||
Header always unset "X-Powered-By" | |||
UseCanonicalName On | |||
TraceEnable off | |||
---- | |||
en liaison avec l'article sur le [[LINUX:Contrôler nos sites WEB|Contrôler nos sites WEB]]. | |||
La version du serveur Apache n'est pas divulguée ni l'OS qui l'héberge. On active en priorité le protocole Http2 plus sécurisé suite à l'installation du module concerné. | |||