Sécuriser vos Vhosts
Uniquement les requêtes GET HEAD et POST sont autorisé Pour ne pas loger les accès aux fichiers favicon.ico et robots.txt L’acces aux fichiers caché peuvent être dangereux tel qu’un .bash_history contant un mot de passe tapé par erreur ou un .my.cnf avec un compte MySQL, l’accès a tous les fichiers caché est donc interdit : Quelque limite pour éviter les Buffer Overflows Dans le cas ou un petit malin essaye…
Lire la suite...Masquer la version d’apache
Dans la configuration, passer les paramètres suivant : ServerTokens Prod ServerSignature Off
Lire la suite...Masquer la version de PHP dans les entête HTTP
Avec la configuration par defaut, PHP indique ca version dans les entete HTTP : # curl -I wiki.pascalito.org HTTP/1.1 200 OK Date: Fri, 12 Oct 2007 22:36:42 GMT Server: Apache X-Powered-By: PHP/5.2.4 Vary: Host Content-Type: text/html Pour masquer cela, il suffi d’indiquer cela dans le fichier de configuration php.ini : expose_php = Off Et cela nous donne : # curl -I wiki.pascalito.org HTTP/1.1 200 OK Date: Fri, 12 Oct 2007…
Lire la suite...
