Configuration d’un serveur web

Vous trouverez ci-dessous quelques bonnes pratiques clés relatives à la configuration du serveur web (Apache/IIS).

  • Modifiez les pages d’erreur par défaut.

  • Désactivez l’ancienne version de SSL et les chiffrements :

    Sur Apache, modifiez le fichier /etc/apache2/mods-available/ssl.conf. Voici un exemple :

    • SSLProtocol all -SSLv2 -SSLv3 -TLSv1
    • SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1

    Sur IIS (voir la documentation), effectuez la configuration suivante :

    • Ajoutez la sous-clé de registre dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

    • Pour que le système puisse utiliser les protocoles qui ne seront pas négociés par défaut (tels que TLS 1.2), remplacez les données de la valeur DWORD de la valeur DisabledByDefault par 0x0 dans les clés de registre suivantes sous la clé Protocols :

      SCHANNEL\Protocols\TLS 1.2\Client

      SCHANNEL\Protocols\TLS 1.2\Server
      Désactivez SSL x.0

    SCHANNEL\Protocols\SSL 3.0\Client : DisabledByDefault : valeur DWORD (32 bits) sur 1

    SCHANNEL\Protocols\SSL 3.0\Server : Enabled : valeur DWORD (32 bits) sur 0

  • Supprimez la méthode TRACE :

    Sur Apache, modifiez le fichier /etc/apache2/conf.d/security : TraceEnable Off.

    Sur IIS (voir la documentation), effectuez la configuration suivante :

    • Assurez-vous que la fonctionnalité ou le service de rôle Filtrage des requêtes est installé.
    • Dans le volet Filtrage des requêtes, cliquez sur l’onglet Verbes HTTP, puis sur Refuser un verbe. Dans le volet Actions, saisissez TRACE dans la boîte de dialogue ouverte.
  • Supprimez la bannière :

    Sur Apache, modifiez le fichier /etc/apache2/conf.d/security :

    • ServerSignature Off
    • ServerTokens Prod

    Sur IIS, effectuez la configuration suivante :

    • Installez URLScan.
    • Modifiez le fichier Urlscan.ini afin d’obtenir RemoveServerHeader=1.
  • Limitez la taille des requêtes pour empêcher le téléchargement de fichiers volumineux :

    **** Sur Apache, ajoutez la directive LimitRequestBody (taille en octets) dans le répertoire /.

    <Directory />
        Options FollowSymLinks
        AllowOverride None
        LimitRequestBody 10485760
    </Directory>
    

    Sur IIS (voir la documentation), définissez la valeur maxAllowedContentLength (longueur de contenu maximale autorisée) dans les options de filtrage de contenu.

Rubriques connexes :

Sur cette page