Configuration de sécurité dans Apache Httpd


3 minutes à lire
Configuration de  sécurité dans Apache Httpd

Suite à la lecture de l'article : Un service signé Mozilla teste la sécurité de sites Web de Ariane Beky sur le site Silicon, j'ai décidé de tester la sécurité de mon blog avec le service Observatory de Mozilla.

Le résultat du premier test fut ... catastrophique avec la plus mauvaise note :

Même si ce n'est pas un réconfort mon site faisait partie des 9 sites sur 10 ayant une mauvaise note.

J'ai donc décidé de prendre les choses en main en modifiant la configuration de mon serveur Apache 2.4 :

Je vous propose ici le fichier de configuration que j'ai réalisé :

/etc/httpd.d/conf.d/securite-perso.conf

<IfModule mod_headers.c>
# Content Security Policy (CSP)
Header set Content-Security-Policy` "script-src 'self'; object-src 'self'"
<FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|topojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|webmanifest|woff2?|xloc|xml|xpi)$">
Header unset Content-Security-Policy

# Reducing MIME type security risks 
Header set X-Content-Type-Options "nosniff"

# HTTP Strict Transport Security (HSTS)  
Header always set Strict-Transport-Security "max-age=16070400; includeSubDomains"

# Clickjacking   
Header set X-Frame-Options "DENY"
<FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|topojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|webmanifest|woff2?|xloc|xml|xpi)$">
Header unset X-Frame-Options

# Reflected Cross-Site Scripting (XSS) attacks  
Header set X-XSS-Protection "1; mode=block"
 <FilesMatch "\.(appcache|atom|bbaw|bmp|crx|css|cur|eot|f4[abpv]|flv|geojson|gif|htc|ico|jpe?g|js|json(ld)?|m4[av]|manifest|map|mp4|oex|og[agv]|opus|otf|pdf|png|rdf|rss|safariextz|svgz?|swf|topojson|tt[cf]|txt|vcard|vcf|vtt|webapp|web[mp]|webmanifest|woff2?|xloc|xml|xpi)$">
Header unset X-XSS-Protection 

# Server software information  
ServerSignature Off
Header unset X-Powered-By

# Weak SSL protocols
SSLProtocol  all -SSLv2 -SSLv3 -TLSv1 
</IfModule>

Après ces modifications et un redémarrage du service httpd le résultat est bien meilleur.

Attention toute fois en désactivant certains protocoles SSL, vous allez bloquer l’accès à certains devices comme par exemple

  • Android < 4.4
  • Internet Explorer < 11

Si vous souhaitez ne pas brider les utilisateurs d'Internet Explorer 8 à 10 sous windows 7 il suffit de retirer -TLSv1 de l'avant dernière ligne du fichier.

J'ai profité de ce moment de tests pour vérifier aussi le certificat SSL de let's encrypt du site avec les services SSL Labs de Qualys.

Le résultat fut tout aussi bon :

Il ne me reste plus qu'à supprimer quelques Cipher Suites désuètes.

Ressources :

VMware Validated Designs
Article précédent

VMware Validated Designs

VMware vient d'ajouter deux nouvelles vidéos dédiées aux "Validated Designs" : le monitoring dans une architecture SDDC avec vRealize Operations le Software Defined Network

VMware vSAN : Le meilleur en vidéo
Article suivant

VMware vSAN : Le meilleur en vidéo

Vous souhaitez en savoir plus sur VMware vSAN, la plateforme de virtualisation des ressources de stockage de VMware ? VMware propose une série de 3 vidéos


Related Articles

La sécurisation des infrastructures de stockage
1 minute à lire
Panorama des métiers de la cybersécurité 2020
1 minute à lire
Le Guide de la Cybersécurité 2021
1 minute à lire
🔥 Top 10 des billets en septembre 2020
1 minute à lire
🗺️  Cartes des menaces informatiques
2 minutes à lire
Les leçons tirées d'un honeypot SSH
1 minute à lire

GO TOP