Sécurisation d'apache2
ServerSignature et ServerTokens
Par défaut, Apache affiche la version que vous utilisez, votre système d'exploitation, et d'autres informations. Une personne malveillante peut utiliser ces informations pour mieux cibler son attaque sur votre serveur, nous allons donc les cacher
ServerSignature Off
ServerTokens Prod
Empêcher le téléchargement de fichiers .htaccess
Empêcher le téléchargement de fichiers .htaccess : vous ne les verrez pas sur votre ftp avec filezilla par exemple
Pour la version 2.4 d'apache:
AccessFileName .htaccess
<FilesMatch "^\.ht">
Require all denied
</FilesMatch>
Pour la version 2.2 d'apache:
AccessFileName .htaccess
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
Clickjacking
pour empêcher le Clickjacking :
Header set X-Content-Type-Options: "nosniff"
Header set X-Frame-Options: "sameorigin"
#Defending with Content Security Policy (CSP) frame-ancestors directive
Header set Content-Security-Policy "frame-ancestors 'none'"
mais il faut activer le module header :
a2enmod headers
jetez un œil sur les modules installés :
env_module (shared)
expires_module (shared)
headers_module (shared)
mime_module (shared)
ssl_module (shared)
status_module (shared)
et redemarrer !
systemctl restart apache2
Où mettre tout ça dans vos .htaccess :
<IfModule mod_headers.c>
# X-XSS-Protection
Header set X-XSS-Protection "1; mode=block"
# Protect against content-sniffing
Header set X-Content-Type-Options nosniff
# protect your visitors against clickjacking and other threats
Header set X-Frame-Options "SAMEORIGIN"
</IfModule>
Ce qui peut être intéressant car RoundCube utilise les Iframe...
Liens externes pour en savoir plus :
1 - https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html Clickjacking Defense Cheat Sheet