Hôte virtuel Apache : ajout de sécurité

Pour assurer la sécurité lors de la configuration d'un proxy inverse avec Apache, vous pouvez mettre en œuvre plusieurs bonnes pratiques, comme l'activation du HTTPS avec SSL/TLS, ajustement des en-têtes de sécurité, configuration du pare-feu et sécurisation de l'accès au backend. Vous trouverez ci-dessous une mise en œuvre détaillée pour vous permettre de garantir un environnement plus sécurisé.

Activer HTTPS avec SSL/TLS

L'utilisation du HTTPS est essentielle pour protéger les données entre le client et le serveur. Pour ce faire, nous allons configurer un certificat SSL dans Apache.

1.Installer les modules SSL Certbot et Apache

Si vous n'avez pas déjà installé les modules SSL, installez-les :

sudo apt install certbot python3-certbot-apache
sudo a2enmod ssl

2.Obtenez un certificat SSL (Let's Encrypt)

Si votre domaine pointe déjà vers le serveur, vous pouvez obtenir un certificat SSL gratuit de Let's Encrypt avec Certbot. Exécutez la commande suivante :

sudo certbot --apache -d php.info

• Si le domaine est public, remplacez php.info par votre domaine actuel.

• Certbot configurera automatiquement SSL sur votre hôte virtuel et redirigera le trafic HTTP vers HTTPS.

3.Vérifiez et ajustez le SSL de l'hôte virtuel

Après la configuration, Certbot créera ou modifiera le fichier de configuration SSL de Virtual Host. Vérifiez si tout est correct :

sudo your_editor /etc/apache2/sites-available/php-le-ssl.conf

Cela devrait ressembler à ceci :

<IfModule mod_ssl.c>
    <VirtualHost *:443>
        ServerAdmin webmaster@localhost
        ServerName php.info
        DocumentRoot /var/www/html/php

        # Reverse Proxy Configuration for HTTPS
        ProxyPreserveHost On
        ProxyPass / http://localhost:8080/
        ProxyPassReverse / http://localhost:8080/

        <Directory /var/www/html/php/>
            AllowOverride All
            Require all granted
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/php_error.log
        CustomLog ${APACHE_LOG_DIR}/php_access.log combined

        SSLEngine on
        SSLCertificateFile /etc/letsencrypt/live/php.info/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/php.info/privkey.pem
        Include /etc/letsencrypt/options-ssl-apache.conf
    </VirtualHost>
</IfModule>

Rediriger HTTP vers HTTPS

Vous pouvez vous assurer que tout le trafic HTTP est redirigé vers HTTPS. Dans votre hôte virtuel HTTP (/etc/apache2/sites-available/php.conf), ajoutez :

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    ServerName php.info
    Redirect permanent / https://php.info/
</VirtualHost>

Cela garantira que toutes les requêtes HTTP seront redirigées vers la version sécurisée (HTTPS) du site.

En-têtes de sécurité

Ajoutez les en-têtes de sécurité suivants à votre fichier de configuration SSL Virtual Host pour atténuer certaines vulnérabilités courantes telles que le Clickjacking et le Cross-Site Scripting (XSS) :

<IfModule mod_headers.c>
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "SAMEORIGIN"
    Header always set X-XSS-Protection "1; mode=block"
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set Content-Security-Policy "default-src 'self';"
</IfModule>

• X-Content-Type-Options : empêche le navigateur d'essayer de deviner le type de contenu, atténuant ainsi les attaques par reniflage MIME.
• X-Frame-Options : empêche l'utilisation du site dans les iframes, protégeant ainsi contre le clickjacking.
• X-XSS-Protection : Active la protection contre les attaques XSS dans les navigateurs.
• Strict-Transport-Security : oblige le navigateur à toujours utiliser HTTPS.
• Content-Security-Policy : définit les politiques de chargement de contenu pour empêcher les attaques telles que XSS.

Sécuriser le back-end

Vous devez vous assurer que le service backend, tel qu'un serveur PHP ou autre service, n'est pas directement accessible au public. Cela peut être fait en limitant l'accès au backend au proxy uniquement.

Configurer le pare-feu (UFW sur Ubuntu) :

Tout d'abord, autorisez uniquement le trafic HTTP (port 80) et HTTPS (port 443) vers le serveur.

sudo ufw allow 'Apache Full'
sudo ufw enable

Maintenant, bloquez tout trafic direct vers le port 8080 (le backend), à l'exception d'Apache :

sudo ufw deny 8080

Surveillance et journaux

Gardez un œil actif sur les journaux d'accès et d'erreurs pour surveiller les comportements suspects :

• Accéder aux journaux d'erreurs :

tail -f /var/log/apache2/php_error.log

• Accéder aux journaux d'accès :

tail -f /var/log/apache2/php_access.log

Vous pouvez également utiliser un outil de surveillance, tel que Fail2Ban, pour bloquer automatiquement les adresses IP qui effectuent trop de tentatives de connexion infructueuses ou d'autres activités suspectes.

Mises à jour régulières

Maintenir votre système d'exploitation, Apache et Certbot à jour est essentiel pour garantir que vous êtes protégé contre les vulnérabilités connues.

sudo apt update && sudo apt upgrade

En suivant ces étapes, vous disposerez d'un environnement proxy inverse sécurisé avec HTTPS et d'une protection de base contre les attaques courantes. Ces paramètres couvrent la sécurité du transport (SSL/TLS), l'atténuation des attaques via les en-têtes HTTP et la protection du backend contre les accès externes.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!