Bonjours, voila je viens d'installer mon serveur apache sur mon pc et j'aimerai un peu le securiser.
 
------------------
 
Mon serveur a ete installer en root (normal me direz vous) masi donc je pense qu'il est lancé en route a chaque boot.
Comment faire pour le lancer en utilisateur afin que si je le met sur le net, les utilisateur ne puisse pas utiliser une faille si il y en a une pour se connecter en root dessus?
 
---
 
J'ai remarquer qu'avec la config de base de apache /var/www/html est le repertoire d'origine du serveur.
Mais j'y ai fait quelque test et tout les repertoire que je cree dasn ce dossier sont accessible directement.
Est ce que je peux les rendre tous innacessible en fesant ceci:

None etant: Aucune autorisation sur ce répertoire.  
Ce qui me permettrai apres avoir donc grace a cela verouiller le repertoire de base , me permettre de deverouiller que ceux que je souhaite partager en creeant les directory dans el fichier de conf.
 
---
 
Si je veux metrte des sous nom comme par exemple pour les site chez free http://un_nom.free.fr
Il faut bien que je gere ca au niveau des VirtualHost, j'en ai jamais fait et ca m'interesserai bien de savoir manipuler ce genre de chose.
 
---
 
Merci a vous de toutes l'aide que vous pourriez m'apporter.

Déjà il est surement lancé avec l'utilisateur/groupe apache et non pas en root.
 
Ensuite, tu peux virer tous les modules dont tu te sers pas.  
 
Check régulièrement les logs et sites de sécu (notamment http://www.apacheweek.com/features/security-20 ).
 
 
Pour ta dernière question : oui ça se gère au niveau du virtual host mais tu peux aussi faire ça au niveau des engeristrements de ressources (records type) : mais dans ce cas là, c'est pour rediriger  http://blabla.tondomaine.org sur une IP qui ne t'appartient pas, avec bien sûr un serveur http derrière.

tu peux aussi tenter un chroot

dnas mon httpd.conf j'ai user apache
group apache ca serai ca alors les utilisateur du lancement.
donc deja ya un peu plus de securite que je ne le penssai
 
Merci pour les liens, je vais taffer ca cet aprem.

quelq'un a une idée pour ma deuxieme question:
pour le blocage des repertoire non desirer ?

Oui c'est ça. D'ailleurs si tu fais un ps aux | grep apache tu verras qu'apache est lancé en tant que root (obligé pour le port 80) et en tant que apache.
 
J'y pense mais voila aussi 2, 3 trucs à faire :
Pour les DDoS apache configure par défaut t'as pas besoin de t'en souciet
Les signatures qui permettent de connaitre la version d'apache, faut les virer (quand tu telnet 80 dessus ou que tu spécifies un rép/fichier qui n'existe pas)

• ServerTokens Prod
• ServerSignature Off

Concernant le directory listing, apache2 l'empêche aussi par défaut.

J'ai pas bien compris ce que tu veux faire, mais si tu veux empêcher un répertoire x d'être vu, le meilleur moyen c'est de foutre un .htaccess avec dedans deny from all.
 
Tu peux aussi foutre ça sur la racine avec un :
 
<Directory />
Order deny,allow
Deny from all
</Directory>
 
Puis configurer l'accès aux répertoires tu veux autoriser.

k merci.
Pour les DoS, justement je venais de lire ca sur un autre forum, et c'ets en cours.
 
En fait pour mon clocage ce que je veux essayer de faire c'ets empecher quequ'un arrivant a rentrer sur mon serveur de se creer un repertoire et de venir stocker plein de merde dessus.
En bloquand donc les acces au repertoire non specifier par moi dnas le httpd.conf, je limite deja ca.
 
Ce que tu appel directory listing c'ets "Option Indexes -Multiviews" ?
 
Je viens aussi de voir sur le site de apache france que ils ont changer le user et le group apach en nobody, ca a un interet speciale ou pas.
je pense que oui vu qu'il le mette mais normalement apache n'as pas les droit root.

Pour qu'un squatteur puisse arriver à déposer des fichiers, faudrait qu'il ait des droits qqpart déjà. Et à part en exploitant une faille dans php, perl ou je ne sais quel module qui tourne sous ton apache ou encore en arrivant à avoir un shell sur ta machine en exploitant apache lui-même ou une faille kernel ya du chemin à faire...
 
Je comprends pas trop ce que tu veux dire en fait. Si le mec obtient le compte apache, il pourra rien faire (ya pas de shell sur ce compte), s'il obtient un accès root, là par contre il peut tout faire mais le fait de mettre des accès non autorisés à certains répertoires, ça change que dalle: s'il est root, il fait ce qu'il veut.
 
Et non, je parle du fait que lorsque tu créés un répertoire avec des fichiers dedans mais sans index.html, apache met un accès forbidden (ça empêche de lister le répertoire).
 
Pour l'histoire du compte, ça change pas énormément qu'il soit en nobody. Extrait du /etc/passwd :

Comme tu peux le voir, nobody a juste un UID et un GID plus élevé...

ok, je ne savait aps que apache ne pouvait pas avoir de shell. et ouai j'avais pas pensser que si il etait root sous apache il avait tt les droit dnc mon histoire de repertoire ne tien pas la route tant pis.