====== Apache ======

----

<note>Les exemples de commandes sont donnés pour Debian/Ubuntu.</note>

----

===== Installation =====

==== Ubuntu ====

=== Installation paquet ===

<code bash>
sudo apt-get install apache2
</code>

=== Vérification version ===

<code bash>
apachectl -v
</code>

==== Redhat/CentOS ====

=== Installation paquet ===

<code bash>
sudo dnf install httpd
</code>

=== Démarrage / Activation ===

<code bash>
sudo systemctl start httpd
sudo systemctl enable httpd
</code>

=== Vérification version ===

<code bash>
httpd -v
</code>

----

[[all:bibles:linux:serveur:apache|Haut de page]]

===== Configuration générale apache =====

==== Ubuntu ====

=== Fichiers/Répertoires ===

| /etc/apache2/apache2.conf  | Fichier de configuration générale  |
| /etc/apache2/ports.conf  | Fichier contenant les ports à écouter, par défaut 80 (http) et 443 (https)  |
| /etc/apache2/sites-available  | Répertoire contenant les fichiers de conf pour les sites disponibles  |
| /etc/apache2/sites-enabled  | Répertoire contenant les liens vers fichiers de conf pour les sites activés (par <color #7092be>//a2ensite//</color>) |
| /etc/apache2/mods-available  | Répertoire contenant les fichiers de conf des modules Apache disponibles  |
| /etc/apache2/mods-enabled  | Répertoire contenant les liens vers les modules Apache activés (par <color #7092be>//a2enmod//</color>)  |

=== Paramètres par défaut ===

  * User : www-data
  * Group : www-data

==== Redhat/CentOS ====

=== Fichiers/Répertoires ===

| /etc/httpd/conf/httpd.conf  | Fichier de configuration générale  |
| /etc/httpd/conf.d  | Répertoire contenant les fichiers de conf pour les sites disponibles  |
| /etc/httpd/conf.modules.d  | Répertoire contenant les fichiers de conf avec les modules Apache à charger  |

=== Paramètres par défaut ===

  * User : apache
  * Group : apache

=== selinux ===

En cas de problème de droits (Erreur 403) vérifier si selinux est activé, vérifier les logs et changer les droits des fichiers :

<code bash>
sestatus
tail -f /var/log/audit/audit.log
sudo chcon -R -t httpd_sys_content_t /var/www/html/
</code>

----

[[all:bibles:linux:serveur:apache|Haut de page]]

===== Configuration sites web =====

<note important>Les fichiers .conf du répertoire <color #00a2e8>/etc/apache2/sites-available</color> sont explorés dans l'ordre alphabétique.</note>

==== Exemples ====

=== http ===

<code apache>
<VirtualHost *:80>
        ServerName www.site.com
        ServerAlias site.com
        DocumentRoot "/var/www/html/site"
        
        ErrorLog ${APACHE_LOG_DIR}/site.error.log
        CustomLog ${APACHE_LOG_DIR}/site.access.log combined
</VirtualHost>
</code>

=== https ===

<note important>Attention de penser à activer le module ssl avec la commande\\
<color #7092be>//sudo a2enmod ssl//</color></note>

<code apache>
<IfModule mod_ssl.c>
        <VirtualHost *:443>
                ServerName www.site.com
                ServerAlias site.com
                DocumentRoot "/var/www/html/site"

                ErrorLog ${APACHE_LOG_DIR}/site.error.log
                CustomLog ${APACHE_LOG_DIR}/site.access.log combined

                SSLEngine on
                SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
                SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
        </VirtualHost>
</IfModule>
</code>

==== Sécurisation ====

=== Redirection du http sur le https ===

<code apache>
<VirtualHost *:80>
        ServerName www.site.com
        
        ErrorLog ${APACHE_LOG_DIR}/site.error.log
        CustomLog ${APACHE_LOG_DIR}/site.access.log combined
        
        Redirect permanent / https://site.com/
</VirtualHost>
</code>

=== Interdire l'accès direct par l'adresse IP ===

<code apache>
<VirtualHost *:80>
        ServerName xxx.xxx.xxx.xxx
        <Directory />
                Deny from all
        </Directory>
</VirtualHost>

<VirtualHost *:443>
        ServerName xxx.xxx.xxx.xxx
        <Directory />
                Deny from all
        </Directory>
</VirtualHost>
</code>

=== VirtualHost par défaut ===

Dans l'exemple suivant on bloque l'accès pour les url non prévues.

<code apache>
<VirtualHost _default_:80>
        ErrorLog ${APACHE_LOG_DIR}/default-http.error.log
        CustomLog ${APACHE_LOG_DIR}/default-http.access.log combined
        <Directory /var/www/html>
            Require all denied
        </Directory>
</VirtualHost>

<IfModule mod_ssl.c>
    <VirtualHost _default_:443>
        ErrorLog ${APACHE_LOG_DIR}/default-https.error.log
        CustomLog ${APACHE_LOG_DIR}/default-https.access.log combined

        SSLEngine on
        SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
        SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
        <Directory /var/www/html>
            Require all denied
        </Directory>
    </VirtualHost>
</IfModule>
</code>

==== Commandes ====

<code bash>
sudo apache2ctl -M                ⇒ liste les modules Apache chargés
sudo a2enmod <module>             ⇒ activation module 
sudo a2ensite <fichier>           ⇒ activation site 
sudo apachectl configtest         ⇒ test de la configuration
sudo systemctl reload apache2     ⇒ recharge la configuration Apache
sudo systemctl restart apache2    ⇒ redemarre le service Apache 
</code>

<note tip>En cas de problème penser à vérifier qu'il n'y a pas un firewall qui bloque le flux.</note>

----

[[all:bibles:linux:serveur:apache|Haut de page]]

===== Utilisation SSL =====

==== Activation ====

=== Ubuntu ===

<code bash>
sudo a2enmod ssl
</code>

=== Redhat/CentOS ===

<code bash>
sudo dnf install mod_ssl
</code>

==== Double authentification ====

Ajouter une directive <color #7092be>//SSLProxyMachineCertificateFile//</color> pour pointer sur le fichier contenant le certificat du client.

==== Générer un certificat autosigné ====

=== Installer openssl ===

  sudo apt-get install openssl

=== Générer une clef privée ===

<code bash>
cd /etc/ssl
sudo openssl genrsa -out cle-privee.pem 2048
</code>

=== Générer une demande de signature de certificat (Certificat Signing Request) ===

<code bash>
sudo openssl req -new -key cle-privee.pem -out demande-csr.pem
</code>
  
<note important>Attention de bien répondre avec l’URL www.site.com pour le champ «Common Name»</note>

=== Visualiser le résultat ===

<code bash>
openssl req -text -noout -in demande-csr.pem
</code>

=== Générer le certificat auto-signé pour 365 jours ===

<code bash>
sudo openssl x509 -req -days 365 -in demande-csr.pem -signkey cle-privee.pem -out certificat.pem
</code>
  
=== Visualiser certificat ===

<code bash>
openssl x509 -noout -text -in certificat.pem
</code>

==== Générer un certificat signé par une autorité bidon ====

=== Générer la Clé Privée de la CA ===

<code bash>
openssl genrsa -out ca.key 2048
</code>

=== Créer un Certificat pour la CA ===

<code bash>
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt
</code>

=== Créer la Clé Privée pour le Serveur ===

<code bash>
openssl genrsa -out serveur.key 2048
</code>

=== Créer une Demande de Signature de Certificat (CSR) pour le Serveur ===

<code bash>
openssl req -new -key serveur.key -out serveur.csr
</code>

<note important>Attention de bien répondre avec l’URL www.site.com ou l'adresse IP pour le champ «Common Name»</note>

=== Signer le Certificat du Serveur avec la CA factice ===

<code bash>
openssl x509 -req -in serveur.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out serveur.crt -days 365 -sha256
</code>

  * Si besoin de générer un certificat avec SAN (Subject Alternative Names), il suffit d'ajouter l'option **-extfile <fichier.ext>** pour pointer sur un fichier avec les infos :

<code>
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
IP.1 = 13.36.137.5
IP.2 = 10.1.3.23
IP.3 = 127.0.0.1
DNS.1 = localhost
DNS.2 = e2e-r23-ngrfid
</code>

=== Combiner la Clé Privée et le Certificat du Serveur ===

<code bash>
cat serveur.key serveur.crt > serveur.pem
</code>

=== Installer le Certificat CA sur les Clients (si nécessaire) ===

Pour que les clients reconnaissent le certificat auto-signé comme "fiable", il faut installer le fichier ca.crt sur chaque client ou application qui se connectera au serveur.

<code bash>
sudo cp ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
</code>

==== Générer un certificat Let's Encrypt ====

=== Installation certbot ===

  * Sur Ubuntu 16.04 :

<code bash>
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-apache
</code>

  * Sur Ubuntu 20.04 : 

<code bash>
sudo snap install core 
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
sudo apt-get install python3-certbot-apache
</code>

  * Sur Redhat 9

<code bash>
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
sudo dnf install certbot python3-certbot-apache
</code>

=== Génération certificat ===

  sudo certbot --apache certonly
  
<note tip>L'option certonly évite la modification automatique des fichiers de conf. Il faut donc les modifier manuellement pour indiquer les chemins vers les fichiers contenant les clefs.</note>

=== Génération certificat pour plusieurs url ===

  sudo certbot --apache certonly –d url1,url2,...

=== Renouvellement certificat ===

  sudo certbot  --standalone  certonly -d url1,url2,...
  
<note tip>certbot renouvelle automatiquement les certificats à l'aide de la crontab (voir le fichier <color #00a2e8>/etc/cron.d/certbot</color>)</note>

=== Liste ===

  sudo certbot certificates

=== Suppression ===

  sudo certbot delete --cert-name <nom>

=== Laisser le port 80 fermé ===

Pour ne pas laisser le port 80 ouvert :

  * Supprimer la ligne Listen 80 du fichier /etc/apache2/ports.conf
  * ajouter l'option <nowiki>--standalone</nowiki> à la commande certbot pour qu'il gère lui-même le port 80

<code bash>
sudo certbot -q renew --dry-run --standalone
</code>

==== Vérification connexion SSL ====

<code bash>
openssl s_client -connect @IP:port
</code>

==== Vérification expiration certificat ====

Il est possible d'utiliser le script [[https://github.com/Matty9191/ssl-cert-check|ssl-cert-check]] pour vérifier l'expiration des certificats.

=== Vérification certificat local ===

<code bash>
ssl-cert-check -d /etc/letsencrypt/live/*/*.pem
</code>

=== Vérification certificat site distant ===

<code bash>
ssl-cert-check -n -p 443 -s <url>
</code>

----

[[all:bibles:linux:serveur:apache|Haut de page]]

===== Sécurisation des entêtes http =====

==== Source ====

[[https://geekflare.com/http-header-implementation/]]\\
[[https://developers.google.com/web/fundamentals/security/csp]]\\
[[https://developer.mozilla.org/fr/docs/Web/HTTP/Headers]]

==== Paramètres ====

=== Strict-Transport-Security ===

Force la communication en utilisant HTTPS au lieu de HTTP.

=== X-Frame-Options ===

Indique si le navigateur est autorisé à afficher une page dans un <frame>, <iframe> ou <object>.

  * DENY : interdiction complète
  * SAMEORIGIN : autorise uniquement depuis le même site
  * ALLOW-FROM : autorise depuis un site donné

=== X-Content-Type-Options ===

Désactive le repérage MIME et force le navigateur à utiliser le type donné dans Content-Type.

=== X-XSS-Protection ===

Active le filtrage de script intersite.

=== Content-Security-Policy ===

Contrôle les ressources que l'agent utilisateur est autorisé à charger pour une page donnée.

Paramètres :

  * default-src : valeur par défaut des directives de récupération qui ne sont pas définies explicitement.
  * script-src : sources valides pour les fichiers JavaScript.
  * img-src : sources valides pour les images et les favicons.
  * media-src : sources valides pour les ressources média des éléments <audio> et <video>.
  * frame-src : sources valides pour les éléments qui représentent des contextes de navigation imbriqués, tels que <frame> et <iframe>.
  * font-src : sources valides pour les polices de caractères chargées depuis @font-face.
  * style-src : sources valides pour les feuilles de styles.

Valeurs :
  * 'self' : uniquement depuis le même site
  * 'unsafe-inline' : à éviter
  * 'unsafe-eval' : à éviter
  * data:  : à éviter
  * domaine.xx : uniquement depuis un domaine
  * *.domaine.xx : depuis tous les sous domaines
  * %%https://domaine.xx%% : uniquement en https depuis le domaine
  * %%https://*.domaine.xx%% : uniquement en https depuis tous les sous domaines
  
=== X-Permitted-Cross-Domain-Policies ===

Spécifie si un fichier de règlementation interdomaines (crossdomain.xml) est autorisé. Ce fichier peut définir une règle pour accorder aux clients (comme Adobe Flash Player, Adobe Acrobat, Microsoft Silverlight ou Apache Flex) la permission de gérer des données entre domaines qui seraient autrement restreintes à cause de Same-Origin Policy.

=== Referrer-Policy ===

Indique quelles informations de provenance envoyées dans l'en-tête Referer doivent être incluses dans les requêtes effectuées.

=== Expect-CT ===
 
Permet de contrôler de manière stricte ou non l'adhérence aux règles de transparence des certificats, permettant ainsi de limiter les utilisations frauduleuses du certificat associé au site grâce à une vérification publique.

==== Implémentation ====

<code bash>
sudo a2enmod headers
sudo systemctl reload apache2
</code>

<code apache>
Header always set Strict-Transport-Security "max-age=15552001; includeSubDomains;"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header set X-XSS-Protection "1; mode=block"
Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' *.lab.acs.altran.fr; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.lab.acs.altran.fr"
Header set X-Permitted-Cross-Domain-Policies "none"
Header set Referrer-Policy "no-referrer"
Header set Expect-CT 'enforce, max-age=43200'
</code>

==== Debug====

Pour trouver ce qui cloche lorsque la page ne s'affiche plus correctement, utiliser les outils de developpement Web du navigateur (Appuyer sur les touches <key>Ctrl</key><key>Shift</key><key>I</key>).

<note tip>Ne pas oublier de vider le cache du navigateur si les modifications ne semble pas prises en compte.</note>

==== Vérification ====

  * [[https://gf.dev/secure-headers-test]]
  * [[https://observatory.mozilla.org/]]
  * [[https://www.ssllabs.com/ssltest/]]

----

[[all:bibles:linux:serveur:apache|Haut de page]]

===== Restriction d'accès =====

==== Directives ====

<code apache>
<Directory /var/www/html>
    AuthName 'Private'
    AuthType Digest
    AuthDigestDomain /
    AuthDigestProvider file
    AuthUserFile /var/www/data/.htdigest
    Require valid-user
</Directory>

</code>

==== Activation auth_digest ====

  sudo a2enmod auth_digest

==== Création fichier htdigest ====

  htdigest -c /var/www/data/.htdigest 'Private' 'vfc-training'

----

[[all:bibles:linux:serveur:apache|Haut de page]]

===== Reverse Proxy =====

==== Module supplémentaires ====

<code bash>
sudo a2enmod proxy proxy_http
</code>

==== Fichier de configuration ====

<code apache>
<IfModule mod_ssl.c>
        # site avec 2 chemins d'accès vers 2 machines différentes   
        <VirtualHost *:443>
                ServerName site.fr
                ErrorLog ${APACHE_LOG_DIR}/site.error.log
                CustomLog ${APACHE_LOG_DIR}/site.access.log combined

                ProxyPreserveHost On
                ProxyRequests Off
                ProxyVia Off
                ProxyPass /chemin1 https://@IP1:port1/
                ProxyPassReverse /chemin1 https://@IP1:port1
                ProxyPass /chemin2 https://@IP2:port2/
                ProxyPassReverse /chemin2 https://@IP2:port2

                SSLEngine on
                SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
                SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
                SSLProxyEngine On
                SSLProxyCheckPeerCN Off
                SSLProxyCheckPeerName Off
                SSLProxyCheckPeerExpire off
                SSLProxyVerify none
        </VirtualHost>
        # websocket avec rewrite
        <VirtualHost *:443>
                ServerName domaine2.fr
                ErrorLog ${APACHE_LOG_DIR}/domaine2.error.log
                CustomLog ${APACHE_LOG_DIR}/domaine2.access.log combined
 
                ProxyPreserveHost On
                ProxyRequests Off
                ProxyVia Off
                ProxyPass / https://xxx.xxx.xxx.xxx:port2/
                ProxyPassReverse / https://xxx.xxx.xxx.xxx:port2/
 
                RewriteEngine On
                RewriteCond %{HTTP:Upgrade} =websocket [NC]
                RewriteRule ^/(.*)    wss://xxx.xxx.xxx.xxx:port2/$1 [P,L]
 
                SSLEngine on
                SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
                SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
                SSLProxyEngine On
                SSLProxyCheckPeerCN Off
                SSLProxyCheckPeerName Off
                SSLProxyCheckPeerExpire off
                SSLProxyVerify none
        </VirtualHost>        
</IfModule>
</code>

<note tip>La redirection vers le serveur n'est pas obligatoirement en https (si dans le cadre d'un réseau interne). Le tunnel crypté peut s'arrêter au reverse proxy.</note>

==== Dépannage ====

=== [proxy:error] Permission denied: AH00957 ===

Sur Redhat SELinux bloque la connexion, il faut passer la commande suivante :

<code bash>
sudo setsebool -P httpd_can_network_connect 1
</code>

----

[[all:bibles:linux:serveur:apache|Haut de page]]