Durcir la configuration d'Apache pour la sécurité web

Apache HTTP Server est l'un des serveurs web les plus utilisés au monde.
Par défaut, sa configuration est fonctionnelle, mais pas forcément optimisée pour la sécurité.

Ce guide détaille le durcissement d'Apache, en-têtes HTTP, TLS, modules à désactiver, isolation des vhosts.

Plan de l'article

Masquer les informations sensibles
Activer HTTPS et forcer TLS
Configurer les en-têtes de sécurité
Restreindre les accès aux répertoires
Bonnes pratiques supplémentaires
Conclusion

Masquer les informations sensibles

Évitez d'exposer la version d'Apache et du système :

Fichier /etc/apache2/conf-available/security.conf :

ServerTokens Prod
ServerSignature Off

Activer HTTPS et forcer TLS

Installer le module SSL et générer un certificat (exemple avec Let's Encrypt) :

sudo apt install certbot python3-certbot-apache
sudo certbot --apache

Forcer l'utilisation de TLS et interdire les protocoles obsolètes :

SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on

Configurer les en-têtes de sécurité

Dans /etc/apache2/conf-available/security.conf :

Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Content-Security-Policy "default-src 'self'"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Activer le module headers :

sudo a2enmod headers
sudo systemctl restart apache2

Restreindre les accès aux répertoires

Exemple dans un VirtualHost :

<Directory /var/www/html>
    Options -Indexes
    AllowOverride None
    Require all granted
</Directory>

👉 Options -Indexes empêche la navigation dans les répertoires.
👉 AllowOverride None limite l'usage des .htaccess.

Bonnes pratiques supplémentaires

Désactiver les modules non utilisés (a2dismod).
Restreindre l'accès SSH et surveiller les journaux (/var/log/apache2/).
Déployer un WAF (Web Application Firewall).
Garder Apache et OpenSSL à jour.

Conclusion

En appliquant ces bonnes pratiques, vous renforcez considérablement la sécurité de votre serveur Apache. Un serveur correctement configuré limite la surface d'attaque et protège vos applications web contre les menaces courantes.

Pour une alternative haute performance, explorez Nginx avancé et complétez avec un WAF comme ModSecurity pour protéger vos applications.

Apache HTTP Server est l'un des serveurs web les plus utilisés au monde.
Par défaut, sa configuration est fonctionnelle, mais pas forcément optimisée pour la sécurité.

Ce guide détaille le durcissement d'Apache, en-têtes HTTP, TLS, modules à désactiver, isolation des vhosts.

Plan de l'article

Masquer les informations sensibles
Activer HTTPS et forcer TLS
Configurer les en-têtes de sécurité
Restreindre les accès aux répertoires
Bonnes pratiques supplémentaires
Conclusion

Masquer les informations sensibles

Évitez d'exposer la version d'Apache et du système :

Fichier /etc/apache2/conf-available/security.conf :

ServerTokens Prod
ServerSignature Off

Activer HTTPS et forcer TLS

Installer le module SSL et générer un certificat (exemple avec Let's Encrypt) :

sudo apt install certbot python3-certbot-apache
sudo certbot --apache

Forcer l'utilisation de TLS et interdire les protocoles obsolètes :

SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLCipherSuite HIGH:!aNULL:!MD5
SSLHonorCipherOrder on

Configurer les en-têtes de sécurité

Dans /etc/apache2/conf-available/security.conf :

Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Content-Security-Policy "default-src 'self'"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Activer le module headers :

sudo a2enmod headers
sudo systemctl restart apache2

Restreindre les accès aux répertoires

Exemple dans un VirtualHost :

<Directory /var/www/html>
    Options -Indexes
    AllowOverride None
    Require all granted
</Directory>

👉 Options -Indexes empêche la navigation dans les répertoires.
👉 AllowOverride None limite l'usage des .htaccess.

Bonnes pratiques supplémentaires

Désactiver les modules non utilisés (a2dismod).
Restreindre l'accès SSH et surveiller les journaux (/var/log/apache2/).
Déployer un WAF (Web Application Firewall).
Garder Apache et OpenSSL à jour.

Conclusion

Pour une alternative haute performance, explorez Nginx avancé et complétez avec un WAF comme ModSecurity pour protéger vos applications.

Durcir la configuration d'Apache pour la sécurité web

Plan de l'article

Masquer les informations sensibles

Activer HTTPS et forcer TLS

Configurer les en-têtes de sécurité

Restreindre les accès aux répertoires

Bonnes pratiques supplémentaires

Conclusion

Besoin d'aide sur ce sujet ?

Articles similaires

Stalwart : un serveur mail moderne tout-en-un en Rust

Authentik : un IdP moderne pour remplacer Okta ou Keycloak

FreeIPA : centraliser l'authentification et les politiques de sécurité Linux

Durcir la configuration d'Apache pour la sécurité web

Plan de l'article

Masquer les informations sensibles

Activer HTTPS et forcer TLS

Configurer les en-têtes de sécurité

Restreindre les accès aux répertoires

Bonnes pratiques supplémentaires

Conclusion

Besoin d'aide sur ce sujet ?

Articles similaires

Stalwart : un serveur mail moderne tout-en-un en Rust

Authentik : un IdP moderne pour remplacer Okta ou Keycloak

FreeIPA : centraliser l'authentification et les politiques de sécurité Linux