Hôte virtuel Apache : ajout de sécurité

Linda Hamilton
Libérer: 2024-10-10 06:10:30
original
964 Les gens l'ont consulté

Apache Virtual Host: Adding Security

Pour assurer la sécurité lors de la configuration d'un proxy inverse avec Apache, vous pouvez mettre en œuvre plusieurs bonnes pratiques, comme l'activation du HTTPS avec SSL/TLS, ajustement des en-têtes de sécurité, configuration du pare-feu et sécurisation de l'accès au backend. Vous trouverez ci-dessous une mise en œuvre détaillée pour vous permettre de garantir un environnement plus sécurisé.

Activer HTTPS avec SSL/TLS

L'utilisation du HTTPS est essentielle pour protéger les données entre le client et le serveur. Pour ce faire, nous allons configurer un certificat SSL dans Apache.

1.Installer les modules SSL Certbot et Apache

Si vous n'avez pas déjà installé les modules SSL, installez-les :

sudo apt install certbot python3-certbot-apache
sudo a2enmod ssl
Copier après la connexion

2.Obtenez un certificat SSL (Let's Encrypt)

Si votre domaine pointe déjà vers le serveur, vous pouvez obtenir un certificat SSL gratuit de Let's Encrypt avec Certbot. Exécutez la commande suivante :

sudo certbot --apache -d php.info
Copier après la connexion
  • Si le domaine est public, remplacez php.info par votre domaine actuel.

  • Certbot configurera automatiquement SSL sur votre hôte virtuel et redirigera le trafic HTTP vers HTTPS.

3.Vérifiez et ajustez le SSL de l'hôte virtuel

Après la configuration, Certbot créera ou modifiera le fichier de configuration SSL de Virtual Host. Vérifiez si tout est correct :

sudo your_editor /etc/apache2/sites-available/php-le-ssl.conf
Copier après la connexion

Cela devrait ressembler à ceci :

<IfModule mod_ssl.c>
    <VirtualHost *:443>
        ServerAdmin webmaster@localhost
        ServerName php.info
        DocumentRoot /var/www/html/php

        # Reverse Proxy Configuration for HTTPS
        ProxyPreserveHost On
        ProxyPass / http://localhost:8080/
        ProxyPassReverse / http://localhost:8080/

        <Directory /var/www/html/php/>
            AllowOverride All
            Require all granted
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/php_error.log
        CustomLog ${APACHE_LOG_DIR}/php_access.log combined

        SSLEngine on
        SSLCertificateFile /etc/letsencrypt/live/php.info/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/php.info/privkey.pem
        Include /etc/letsencrypt/options-ssl-apache.conf
    </VirtualHost>
</IfModule>
Copier après la connexion

Rediriger HTTP vers HTTPS

Vous pouvez vous assurer que tout le trafic HTTP est redirigé vers HTTPS. Dans votre hôte virtuel HTTP (/etc/apache2/sites-available/php.conf), ajoutez :

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    ServerName php.info
    Redirect permanent / https://php.info/
</VirtualHost>
Copier après la connexion

Cela garantira que toutes les requêtes HTTP seront redirigées vers la version sécurisée (HTTPS) du site.

En-têtes de sécurité

Ajoutez les en-têtes de sécurité suivants à votre fichier de configuration SSL Virtual Host pour atténuer certaines vulnérabilités courantes telles que le Clickjacking et le Cross-Site Scripting (XSS) :

<IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "SAMEORIGIN"
    Header always set X-XSS-Protection "1; mode=block"
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set Content-Security-Policy "default-src 'self';"
</IfModule>
Copier après la connexion
  • X-Content-Type-Options : empêche le navigateur d'essayer de deviner le type de contenu, atténuant ainsi les attaques par reniflage MIME.
  • X-Frame-Options : empêche l'utilisation du site dans les iframes, protégeant ainsi contre le clickjacking.
  • X-XSS-Protection : Active la protection contre les attaques XSS dans les navigateurs.
  • Strict-Transport-Security : oblige le navigateur à toujours utiliser HTTPS.
  • Content-Security-Policy : définit les politiques de chargement de contenu pour empêcher les attaques telles que XSS.

Sécuriser le back-end

Vous devez vous assurer que le service backend, tel qu'un serveur PHP ou autre service, n'est pas directement accessible au public. Cela peut être fait en limitant l'accès au backend au proxy uniquement.

Configurer le pare-feu (UFW sur Ubuntu) :

Tout d'abord, autorisez uniquement le trafic HTTP (port 80) et HTTPS (port 443) vers le serveur.

sudo ufw allow 'Apache Full'
sudo ufw enable
Copier après la connexion

Maintenant, bloquez tout trafic direct vers le port 8080 (le backend), à l'exception d'Apache :

sudo ufw deny 8080
Copier après la connexion

Surveillance et journaux

Gardez un œil actif sur les journaux d'accès et d'erreurs pour surveiller les comportements suspects :

  • Accéder aux journaux d'erreurs :
tail -f /var/log/apache2/php_error.log
Copier après la connexion
  • Accéder aux journaux d'accès :
tail -f /var/log/apache2/php_access.log
Copier après la connexion

Vous pouvez également utiliser un outil de surveillance, tel que Fail2Ban, pour bloquer automatiquement les adresses IP qui effectuent trop de tentatives de connexion infructueuses ou d'autres activités suspectes.

Mises à jour régulières

Maintenir votre système d'exploitation, Apache et Certbot à jour est essentiel pour garantir que vous êtes protégé contre les vulnérabilités connues.

sudo apt update && sudo apt upgrade
Copier après la connexion

En suivant ces étapes, vous disposerez d'un environnement proxy inverse sécurisé avec HTTPS et d'une protection de base contre les attaques courantes. Ces paramètres couvrent la sécurité du transport (SSL/TLS), l'atténuation des attaques via les en-têtes HTTP et la protection du backend contre les accès externes.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source:dev.to
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal
À propos de nous Clause de non-responsabilité Sitemap
Site Web PHP chinois:Formation PHP en ligne sur le bien-être public,Aidez les apprenants PHP à grandir rapidement!