Acquérir une maîtrise approfondie de la sécurisation d’un serveur Web Apache avec notre formation dédiée.
Approfondissez vos connaissances sur le fonctionnement et la configuration d’Apache, apprenez à gérer les privilèges d’exécution, à mettre en place des limitations de ressources et à éviter les attaques courantes en configurant adéquatement les modules de sécurité d’Apache, y compris mod_evasive.
Comprenez comment organiser la configuration dans les différents fichiers, sécuriser les échanges entre les navigateurs et le serveur avec HTTPS, et mettre en place une stratégie de restriction d’accès par machine et par authentification utilisateur.
Programme détaillé
Rappels (0,5 heure)
- Fonctionnement d'Apache
- Principes de configuration d'Apache
Sécurisation du serveur Apache (3 heures)
- Privilèges d'exécution
- Droits d'accès associés
- Chargement raisonné des modules
- Limitation de ressources
- Mémoire
- CPU
- Processus-fils
- Cas particulier de PHP
- Gestion des méthodes HTTP (get, post, put…)
- Limitation du risque d'attaque de type DOS : mod_evasive
Sécurisation de la configuration dynamiquement (1 heure)
- Principe de la configuration dynamique
- Définition du fichier de configuration dynamique
- Limitation des directives prises en compte
- Limitation fine des directives (Version 2.4)
Sécurisation des échanges avec les clients (2,5 heures)
- Restriction des clients
- Authentification des utilisateurs
- Par couple login/password
- Par utilisation de certificats clients
- Mise en œuvre du protocole HTTPS
- Rappels sur le protocole SSL
- Création d'un certificat de test
- Mise en œuvre à proprement dite
- Approbation des autorités de certification dans les navigateurs web
- Limitation de la bande passante
- Module ratelimit (Version 2.4)