Formation Sécurité des Serveurs Web Apache

1/ Présentation et installation d'Apache

• Historique

• Apache et les concurrents

• Rappel sur le fonctionnement d'Apache

• Installer Apache

• Mettre à jour Apache

2/ LAMP (Linux, Apache, MySQL, PHP/Python/Perl)

• Installer Apache en mode core

• Installer LAMP

• Configurer MariaDB

• Manager le firewall avec iptables

3/ Configuration et durcissement

• Configuration des mises à jour automatiques

• Configurer et durcir un tunnel SSH (Secure SHell)

• Installer WordPress

• Durcir le CMS (Content Management System)

4/ Configuration et utilisation de Fail2Ban

• Installer et configurer Fail2Ban

• Les bonnes pratiques

5/ Sécurisation du serveur Apache

• Privilèges d'exécution

• Droits d'accès associés

• Chargement raisonné des modules

• Limitation de ressources

• Mémoire

• CPU

• Processus-fils

• Cas particulier de PHP

• Gestion des méthodes HTTP (get, post, put…)

• Limitation du risque d'attaque de type DOS : mod_evasive

6/ Sécurisation de la configuration dynamiquement

• Principe de la configuration dynamique

• Définition du fichier de configuration dynamique

• Limitation des directives prises en compte

• Limitation fine des directives

7/ Sécurisation des échanges avec les clients

• Restriction des clients

• Authentification des utilisateurs

• Par couple login/password

• Par utilisation de certificats clients

• Configuration et installation de SSL

• Rappels sur le protocole SSL

• Récapitulatif sur le chiffrement

• Installer une PKI (Public Key Infrastructure)

• Configurer un certificat SSL pour une application Web

• Mise en œuvre du protocole HTTPS

• Création d'un certificat de test

• Mise en œuvre à proprement dite

• Approbation des autorités de certification dans les navigateurs web

• Limitation de la bande passante

• Module ratelimit