Configuration Qapache

Les tutoriaux rédigés par les membres
Répondre
Mikiya
Chevalier Jedi
Messages : 349
Enregistré le : 25 octobre 2016

Configuration Qapache

Message par Mikiya » 29 oct. 2017 14:32

Salut !
Suite à pas mal de petites hésitations, je suis récemment passé à Qapache de Qoolbox (encore merci à lui !) et j'ai du faire quelques changements pour me convenir (HTTPS et un peu de sécurité).
Je vous propose de récapituler ici mes changements pour faire marcher et aussi sécuriser l'ensemble ;)

Je note avec ! les options facultatives de sécurité qui peuvent poser soucis et donc à adapter selon la situation.

Dans httpd.conf d'abord :
- Décommenter la ligne Include etc/extra/httpd-ssl.conf (jusque la assez évident)
!- Passer en user retreint si vous le souhaitez (attention, bien tester les fonctions du site derrière, c'est possible que certains trucs marchent plus)

Code : Tout sélectionner

User apache
Group everyone
Faire attention par la suite à bien faire des chown du user apache pour le htdocs !

- Limiter les infos de versions installées (ça ne regarde que vous !)

Code : Tout sélectionner

ServerSignature Off
ServerTokens Prod
- UNE FOIS LA CONFIGURATION FAITE
Enlever le bloc entier <Directory "/share/htdocs">
et enlever ou commenter avec des # le bloc

Code : Tout sélectionner

<Directory "/share/htdocs/cgi-bin">
    AllowOverride None
    Options None
    Require all granted
</Directory>
!! Une fois ces lignes modifiées on perd l'interface web de configuration !!

Puis vous autorisez des sections directory dédiées à chaque dossier de htdocs que l'on veut exposer :

Code : Tout sélectionner

<Directory "/share/htdocs/NOM_DOSSIER">
    Options FollowSymLinks
    AllowOverride all 
    Require all granted
</Directory>
ça évite de laisser trainer la conf, les phpinfo et autres (que je n'ai pas réussi à virer d'où le blocage). J'ai mis AllowOverride en all si vous voulez mettre des .htaccess, sinon vous pouvez mettre none.

Dans php.ini :
- Passer à off : expose_php = Off pour masquer la version de PHP

Dans httpd-ssl.conf ensuite :
- Changer le DocumentRoot : DocumentRoot "/share/htdocs"
!- Copier les certificats du NAS si vous en avez (de /mnt/ext/opt/QcloudSSLCertificate/cert/) dans "/opt/Qapache/etc/" pour
[...]/cert/key -> /opt/Qapache/etc/server.key
[...]/cert/cert -> /opt/Qapache/etc/server.crt
[...]/cert/intermediate.pem -> /opt/Qapache/etc/server-ca.crt
et décommenter la ligne SSLCertificateChainFile "/opt/Qapache/etc/server-ca.crt"

(on peut faire un cron cette copie comme ça on le fait pas à chaque renouvellement)

!- Changement des protocoles pour du moderne :

Code : Tout sélectionner

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLProxyProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5
SSLProxyCipherSuite HIGH:!aNULL:!MD5
!- Utilisation du HSTS dans le virtual host:

Code : Tout sélectionner

<VirtualHost _default_:448>
[...]
<IfModule mod_headers.c>
      Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>
Avec une configuration de ce style, pas d'info versions qui fuitent et grade A+ sur Qualys SSLLabs 8-)
N'hésitez pas si vous avez des questions ou améliorations à proposer !
QNAP TS-251+ 4Go - RAID 1 Seagate IronWolf 2To - Onduleur Eaton 3S 550

Avatar du membre
QoolBox
Représentant de QNAP
Messages : 5591
Enregistré le : 02 janvier 2014
Professionnel : Oui
Localisation : France
Contact :

Re: Configuration Qapache

Message par QoolBox » 29 oct. 2017 14:52

au top !! ;)

Tosh
Padawan
Messages : 114
Enregistré le : 25 juin 2015
Professionnel : Non
Localisation : Lille

Re: Configuration Qapache

Message par Tosh » 30 oct. 2017 14:00

Merci Mikiya, je vais tenter de mettre ça en place.

Par contre tu pourrais montrer comment sont fait tes vhosts du coup ?
NAS : QNAP TS-470 Ultimate

Mikiya
Chevalier Jedi
Messages : 349
Enregistré le : 25 octobre 2016

Re: Configuration Qapache

Message par Mikiya » 30 oct. 2017 18:11

J'en ai pas vraiment (enfin au sens Apache il y a le 448 et le 88 de base), mais pas de montage particuliers ensuite, j'ai pas eu le besoin encore. J'ai simplement le routeur qui ouvre le 448 pour mon site et le 443 pour l'interface d'admin.
Le serveur Web intégré au NAS je m'en sers pas, mais j'ai pas cherché à le remplacer par Qapache.

edit : j'ai modifié la partie sur le blocage des pages générées (surtout pour cgi-bin)
QNAP TS-251+ 4Go - RAID 1 Seagate IronWolf 2To - Onduleur Eaton 3S 550

Répondre

Retourner vers « Tutoriaux »

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 4 invités