Sécuriser vos Vhosts

Uniquement les requêtes GET HEAD et POST sont autorisé if ($request_method !~ ^(GET|HEAD|POST)$ ) { return 444; } Pour ne pas loger les accès aux fichiers favicon.ico et robots.txt location = /favicon.ico { log_not_found off; access_log off; } location = /robots.txt { allow all; log_not_found off; access_log off; } L’acces aux fichiers caché peuvent être dangereux tel qu’un .bash_history contant un mot de passe tapé par erreur ou un .my.cnf avec un compte MySQL, l’accès a tous les fichiers caché est donc interdit : [Voir plus]

Dynamique Vhost

Exemple de configuration du module Apache mod_vhost_alias :

Options FollowSymLinks
AllowOverride all
Allow from all
UseCanonicalName Off

LogFormat "%V %h %l %u %t \"%r\" %s %b" vcommon
CustomLog /var/log/apache2/access.vhosts.log vcommon

VirtualDocumentRoot /var/www/%0/www
VirtualScriptAlias /var/www/%0/cgi-bin

Documentation : http://httpd.apache.org/docs/2.0/mod/mod_vhost_alias.html