Qapache 2.4.27.7110 is on the way...
source patched already for the latest CVE and built...
waiting for php release
source patched already for the latest CVE and built...
waiting for php release
Qnap [ Qapache + PHP 7.2.26 ] [ 2.4.39 ] Apache WebServer + PHP + Extensions
- Auteur du sujet QoolBox
- Date de début
damned i need to change versioning due to 10 caracter limitation :twisted:
will be 2.4.2771...
x64 cross compilation done... packing running.. if test are ok will be available on QnapClub.eu first...
will be 2.4.2771...
x64 cross compilation done... packing running.. if test are ok will be available on QnapClub.eu first...
x64 version in upload on my host (already available on QnapClub.eu)
Code:
2.4.27.7110 - 27 sept 2017
-------------------------
Fix Apache CVE-2017-9798
Fix Apache PR61382 issue
update php core to 7.1.10Merci je me suis enfin décidé à y passer 
Sauf que la galère pour le HTTPS !
Donc pour ceux qui veulent je récapitule mes changements pour faire marcher et aussi sécuriser l'ensemble
Dans httpd.conf d'abord :
- Décommenter la ligne Include etc/extra/httpd-ssl.conf (jusque la assez évident)
- Passer en user retreint si vous le souhaitez (attention, bien tester les fonctions du site derrière, c'est possible que certains trucs marchent plus)
Faire attention par la suite à bien faire des chown du user apache pour le htdocs !
- Limiter les infos de versions installées (ça ne regarde que vous !)
- UNE FOIS LA CONFIGURATION FAITE Ajouter :
Puis des sections directory dédiés à chaque dossier de htdocs que l'on veut exposer, ça évite de laisser trainer la conf, les phpinfo et autres (que je n'ai pas réussi à virer d'où le blocage). Pensez aussi aux AllowOverride si vous voulez mettre des .htaccess. Une fois ces lignes ajoutées on perd l'interface web de configuration !
Dans php.ini :
- Passer à off : expose_php = Off pour masquer la version de PHP
Dans httpd-ssl.conf ensuite :
- Changer le DocumentRoot : DocumentRoot "/share/htdocs"
- Décommenter la ligne SSLCertificateChainFile "/opt/Qapache/etc/server-ca.crt"
- Copier les certificats du NAS (de /mnt/ext/opt/QcloudSSLCertificate/cert/) dans "/opt/Qapache/etc/" pour
[...]/cert/key -> /opt/Qapache/etc/server.key
[...]/cert/cert -> /opt/Qapache/etc/server.crt
[...]/cert/intermediate.pem -> /opt/Qapache/etc/server-ca.crt
(on peut faire un cron cette copie comme ça on le fait pas à chaque renouvellement)
Ensuite du bonus pour blinder un peu toujours dans httpd-ssl.conf, changement pour :
et utilisation du HSTS dans le virtual host:
Avec une conf de ce style, pas d'info versions qui fuitent et grade A+ sur Qualys SSLLabs
Sauf que la galère pour le HTTPS !
Donc pour ceux qui veulent je récapitule mes changements pour faire marcher et aussi sécuriser l'ensemble
Dans httpd.conf d'abord :
- Décommenter la ligne Include etc/extra/httpd-ssl.conf (jusque la assez évident)
- Passer en user retreint si vous le souhaitez (attention, bien tester les fonctions du site derrière, c'est possible que certains trucs marchent plus)
Code:
User apache
Group everyone- Limiter les infos de versions installées (ça ne regarde que vous !)
Code:
ServerSignature Off
ServerTokens Prod- UNE FOIS LA CONFIGURATION FAITE Ajouter :
Code:
<Directory "/share/htdocs">
AllowOverride none
Require all denied
</Directory>
<Directory "/share/htdocs/Apache">
AllowOverride none
Require all denied
</Directory>
<Directory "/share/htdocs/cgi-bin">
AllowOverride none
Require all denied
</Directory>Dans php.ini :
- Passer à off : expose_php = Off pour masquer la version de PHP
Dans httpd-ssl.conf ensuite :
- Changer le DocumentRoot : DocumentRoot "/share/htdocs"
- Décommenter la ligne SSLCertificateChainFile "/opt/Qapache/etc/server-ca.crt"
- Copier les certificats du NAS (de /mnt/ext/opt/QcloudSSLCertificate/cert/) dans "/opt/Qapache/etc/" pour
[...]/cert/key -> /opt/Qapache/etc/server.key
[...]/cert/cert -> /opt/Qapache/etc/server.crt
[...]/cert/intermediate.pem -> /opt/Qapache/etc/server-ca.crt
(on peut faire un cron cette copie comme ça on le fait pas à chaque renouvellement)
Ensuite du bonus pour blinder un peu toujours dans httpd-ssl.conf, changement pour :
Code:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLProxyProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5
SSLProxyCipherSuite HIGH:!aNULL:!MD5et utilisation du HSTS dans le virtual host:
Code:
<VirtualHost _default_:448>
[...]
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>Avec une conf de ce style, pas d'info versions qui fuitent et grade A+ sur Qualys SSLLabs
change le user dans httpd.conf, ca devrait fonctionner, mais a mon avis il va falloir faire un chown derrière de htdocs
QoolBox a dit:
J'ai tenté en httpdusr (celui du apache natif) ou un user dédié, avec le chown mais pas concluant, ça se lance mais page blanche sur nextcloud (une page simple html marche par contre) :/ faut que je creuse, ça doit appeler des lib non accessibles ...
si tu utilises le Nextcloud QPKG avec dépendance Qapache, il utilise son propre httpd.conf
a moins que tu installes NextCloud dans htdocs directement
a moins que tu installes NextCloud dans htdocs directement
Bon pour mon soucis au changement de user ... je saurais pas pourquoi, j'ai tout reinstallé nextcloud de zero en apache avec user restreint et la ça passe (seuls les mails foirent), donc ça fera l'affaire ! J''update mon récap de modifs juste avant pour les modifs https://www.forum-nas.fr/viewtopic.php?f=21&t=1677&p=54241#p54241
J''update mon récap de modifs juste avant pour les modifs https://www.forum-nas.fr/viewtopic.php?f=21&t=1677&p=54241#p54241
Mikiya a dit:Bon pour mon soucis au changement de user ... je saurais pas pourquoi, j'ai tout reinstallé nextcloud de zero en apache avec user restreint et la ça passe (seuls les mails foirent), donc ça fera l'affaire !
ptet faire un thread à part dans la partie tutoriaux que cela soit vu par tout le monde
if i would use free ssl manualy ,, and after gettting downloaded files .. where should i put it ?
for default qts i upload it in certificate to to activiate ssl in default web server ..
but for qapache where should i put it ?
is in
? or in
?
and what about the existing openssl certification ? shoud i disable it throught httpdssl.conf ?
too many questions .. i've read alot and been lost ?
for default qts i upload it in certificate to to activiate ssl in default web server ..
but for qapache where should i put it ?
is in
Code:
/opt/qapache/etc
Code:
/opt/apache/etc/ssland what about the existing openssl certification ? shoud i disable it throught httpdssl.conf ?
too many questions .. i've read alot and been lost ?
Toxic a dit:
Merci !
Par contre mauvaise surprise ... c'est normal que notre conf soit écrasée à l'update ? C'est un peu violent et c'est reparti pour régler tout la Je regrette pas d'avoir fait le tuto du coup !
Par contre mauvaise surprise ... c'est normal que notre conf soit écrasée à l'update ? C'est un peu violent et c'est reparti pour régler tout la
Je regrette pas d'avoir fait le tuto du coup !