Auteur Sujet: Base: Installation et sécurisation d'Apache2  (Lu 7036 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 48 311
    • Twitter LaFibre.info
Base: Installation et sécurisation d'Apache2
« Réponse #12 le: 10 mai 2022 à 12:38:29 »
J'ai fais une modification pour les logs :

Avant le fichier /etc/apache2/conf-available/log-personnalise.conf indiquait le port destination (80 ou 443 sur un serveur classique) :

# Customized log with display of TCP source port (%{remote}p) and TCP destination port (%{local}p)
LogFormat "%a %{remote}p %{local}p %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combiport

J'ai supprimé le port destination par la version du protocole SSL.

On a donc 3 cas possible :

  • - : c'est du http (donc le port 80)
  • TLSv1.2 : c'est du https (donc le port 443)
  • TLSv1.3 : c'est du https (donc le port 443)

Cela peut aider à séparer les requêtes inhabituelles de celles émanent de navigateurs web, tous avec TLS1.3 aujourd'hui.

3/ Recommandation BCP-162 / RFC6302 : Rajouter le port source dans les log d'Apache2

cf BCP-162: logs, CGNat et cybercriminalité
nano /etc/apache2/conf-available/log-personnalise.conf : Création d'une configuration de log qui inclue le port source, appelé "combiport"

Copier / coller le texte ci-dessous dans le fichier :
# Customized log with display of TCP source port (%{remote}p) and the SSL protocol version (TLSv1.2, TLSv1.3) for https or "-" for http (%{SSL_PROTOCOL}x)
LogFormat "%h %{remote}p %{SSL_PROTOCOL}x %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combiport

a2enconf log-personnalise : Activation du fichier mis en place (il faut touefois appeler "combiport" lors du log)
sed -i -e "s/CustomLog \${APACHE_LOG_DIR}\/other_vhosts_access.log vhost_combined/CustomLog \${APACHE_LOG_DIR}\/other_vhosts_access.log vhost_combined/g" /etc/apache2/conf-available/other-vhosts-access-log.conf : configuration "combiport" pour ce fichier de log.



  • Invité
Base: Installation et sécurisation d'Apache2
« Réponse #13 le: 11 mai 2022 à 05:26:08 »
Cela donne un bon scoring . :)

vivien

  • Administrateur
  • *
  • Messages: 48 311
    • Twitter LaFibre.info
Base: Installation et sécurisation d'Apache2
« Réponse #14 le: 11 mai 2022 à 07:14:04 »
C'est quel outil de test ?

Je connaissais les outils de test SSL :
- https://www.ssllabs.com/ssltest/
- https://tls.imirhil.fr
mais pas ton outil

ppn_sd

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 228
  • FLG (28190)
Base: Installation et sécurisation d'Apache2
« Réponse #15 le: 11 mai 2022 à 07:32:06 »

vivien

  • Administrateur
  • *
  • Messages: 48 311
    • Twitter LaFibre.info
Base: Installation et sécurisation d'Apache2
« Réponse #16 le: 13 juin 2022 à 21:39:07 »
J'ai rajouté le type MIME pour les images WebP et d'autres formats plus récents.

Ce qui est étonnant, c'est que la liste des types MIME a fortement augmenté entre Ubuntu 20.04 et Ubuntu 22.04. Il ont rajoutés des dizaines de nouveaux types, y compris des récents : AVIF ou JPEG XL (ce dernier est un tout nouveau format d'image, pris en charge par aucun navigateur dans une version stable. Par contre, ils ont encore oubliés WebP, je ne comprends pas pourquoi alors qu'il est de plus en plus employé sur les sites web.


3/ Rajouter les types MIME (Multipurpose Internet Mail Extensions) pour les nouveaux formats d'images :

Nécessaire pour que les images (WebP et autres nouveaux formats d'images) s’affichent correctement, quand on fait "ouvrir l'image dans un nouvel onglet"). Sans cela, soit il affiche des hiéroglyphes (données brutes), soit il télécharge l'image (et affiche le file:// avec le lien vers l'image en local sur le PC).

Ubuntu 18.04 LTS et 20.04 LTS :
nano /etc/mime.types

copier / coller les lignes suivantes à la fin du fichier
image/webp webp
image/heif heif
image/heif-sequence heifs
image/avif avif hif
image/avif-sequence avifs
image/jxl jxl

Ubuntu 22.04 LTS :
nano /etc/mime.types

copier / coller les lignes suivantes à la fin du fichier
image/webp webp
image/avif-sequence avifs

Vérification : cat /etc/mime.types | grep -e "webp" -e "heif" -e "avif" -e "jxl" : Chaque type doit n'être listé qu'une seule fois.

vivien

  • Administrateur
  • *
  • Messages: 48 311
    • Twitter LaFibre.info
Base: Installation et sécurisation d'Apache2
« Réponse #17 le: 23 juin 2022 à 09:46:46 »
Bug ouvert pour qu'Ubuntu rajoute le type MIME pour les images WebP par défaut : https://bugs.launchpad.net/ubuntu/+source/mime-support/+bug/1979596

vivien

  • Administrateur
  • *
  • Messages: 48 311
    • Twitter LaFibre.info
Base: Installation et sécurisation d'Apache2
« Réponse #18 le: 08 mai 2023 à 17:07:29 »
Mise à jour où j'ai réalisé un document pour expliquer mes choix pour la configuration du MPM Event.

Expliquer les choix réalisés dans cette configuration du MPM Event prend de la place, j'ai préféré le déplacer dans un PDF :
(cliquez sur la miniature ci-dessous - le document est au format PDF)


Ne pas hésiter à me faire des suggestions.
Je regrette que la documentation Apache, pourtant bien faite, ne donne pas ce type d'exemple de configuration pour un cas d'usage classique, au moins pour les MPM les plus populaires.