« Securite apache php » : différence entre les versions

De EduTech Wiki
Aller à la navigation Aller à la recherche
Ligne 31 : Ligne 31 :
== Configuration Apache ==
== Configuration Apache ==


C'est une bonne idée de limiter l'acces aux phpinfo dans le httpd.conf
C'est une bonne idée d'interdire la fonction phpinfo dans le php.ini
Faudrait chercher comment l'interdire carrement et non pas seulement par le nom.
  disable_functions = phpinfo
  <Files ~ "phpinfo.php">
    Order deny,allow
    Deny from all
    Allow from xxx.xxx.xxx.
</Files>


== php.ini ==
== php.ini ==

Version du 26 juin 2008 à 15:00

  • ebauche (comment on mets ca comme mot clef? TODO)


Logs apache

Processus curieux

Ports ouverts

Intrusion Detection System

C'est peut etre une bonne idée d'installer un logiciel de detection d'intrusion. Samhain (homepage) Aide (homepage)


Configuration Php

safe_mode On
safe_mode_gid On
safe_mod_exec_dir = /usr/local/safemode/

Upload de fichiers.. par exemple pour la gallerie photo gallery.menalto.com

  • Dossier temporaire (d'upload) doit avoir le meme groupe que l'utilisateur qui a les fichiers php
  • Permission du dossier temporaire: 2777
  • Dans le dossier safe_mod_exec_dir mettre un lien vers les programmes necessaires

Configuration Apache

C'est une bonne idée d'interdire la fonction phpinfo dans le php.ini

disable_functions = phpinfo

php.ini

A partir de php 5.2.0:

  • allow_url_include = Off interdit tout les include, require externes (empeche pas mal de choses)
  • Si on a une version plus vieille on peut utiliser allow_url_fopen = Off mais ca comprends toutes les url.. pas seulement les includes

Voir aussi: PHP - Secure coding (LXF Wiki Area)

Postfix

Arreter le serveur /etc/init.d/postfix stop

Vérifier la queue mailq

Effacer la queue (doc sur site) postsuper -d ABCDEF

mails envoyés /var/spool/mail