Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
fr:securite_sysadmin [2018/08/06 15:54] – [Faire suivre les IP derrière les reverse proxy] correction du tag zatalyz | fr:securite_sysadmin [2021/12/03 19:19] – modification externe 127.0.0.1 | ||
---|---|---|---|
Ligne 173: | Ligne 173: | ||
# Interdire l' | # Interdire l' | ||
Header set X-Permitted-Cross-Domain-Policies none | Header set X-Permitted-Cross-Domain-Policies none | ||
+ | # X-Clacks, ça sert à rien, c'est donc vital. | ||
+ | header set X-Clacks-Overhead "GNU Terry Pratchett" | ||
# Enfin, les CSP permettent de vérifier l' | # Enfin, les CSP permettent de vérifier l' | ||
- | # CSP, pour eviter de charger des scripts d' | + | # CSP, pour eviter de charger des scripts d' |
- | Header set Content-Security-Policy " | + | Header set Content-Security-Policy " |
</ | </ | ||
Les explications : | Les explications : | ||
* Header set X-Robots-Tag : http:// | * Header set X-Robots-Tag : http:// | ||
- | * CSP : https:// | + | * CSP : https:// |
- | <WRAP center round info 90%> | + | == Content Security Policy (CSP) == |
- | Note à propos | + | Les CSP améliorent grandement la sécurité d'une installation, |
- | Il est difficile de faire marcher les CMS tout en ayant une politique sécurisée sur les CSP. | + | Mais il est difficile de faire marcher les CMS tout en ayant une politique sécurisée sur les CSP. |
- | L' | + | Le site de référence est [[https:// |
+ | |||
+ | * Premier cas : pas de politique CSP. Certains CMS permettent aux utilisateurs d' | ||
+ | * Second cas : une politique CSP stricte (paramétrée uniquement sur '' | ||
+ | * Troisième cas : ajouter des règles comme '' | ||
+ | * Quatrième cas : exécuter localement uniquement les scripts validés explicitement. Cela demande de rajouter la variable '' | ||
+ | |||
+ | == Quelques exemples == | ||
+ | |||
+ | L' | ||
Header set Content-Security-Policy " | Header set Content-Security-Policy " | ||
| | ||
- | En effet, le paramètre '' | + | '' |
- | </WRAP> | + | |
- | <WRAP center round todo 60%> | + | Pour onlyoffice, après de nombreuses galères : la solution a été la CSP frame-ancestors pour permettre l' |
- | Travail en cours, on va trouver l' | + | more_set_headers " |
+ | |||
+ | La règle suivante, assez générique, va " | ||
+ | add_header Content-Security-Policy " | ||
- | Pour le moment, cependant, etherpad bloque un csp de qualité. Même l' | ||
Ligne 209: | Ligne 222: | ||
* Le dernier morceau concerne OCSP qui accélère un peu les échanges en https, voir aussi [[https:// | * Le dernier morceau concerne OCSP qui accélère un peu les échanges en https, voir aussi [[https:// | ||
< | < | ||
- | SSLProtocol TLSv1.2 | + | SSLProtocol |
SSLCompression off | SSLCompression off | ||
SSLCipherSuite HIGH: | SSLCipherSuite HIGH: | ||
Ligne 236: | Ligne 249: | ||
Ce qui suit est extrait d'une conversation avec TychoBrahe ; j'ai conservé son style fleuri si savoureux. | Ce qui suit est extrait d'une conversation avec TychoBrahe ; j'ai conservé son style fleuri si savoureux. | ||
- | --- //[[wiki:user: | + | --- // |
</ | </ | ||
Ligne 277: | Ligne 290: | ||
man 1 ciphers | man 1 ciphers | ||
+ | == L' | ||
+ | |||
+ | C'est un mécanisme permettant l' | ||
+ | |||
+ | == Le chiffrement a/ | ||
+ | |||
+ | La différence entre le chiffrement symétrique et le chiffrement asymétrique est que dans le premier cas, il n'y a besoin que d'une seule clef, qui permet aussi bien de chiffrer un message que de le déchiffrer. Pour le chiffrement asymétrique, | ||
+ | |||
+ | == Le contrôle == | ||
+ | |||
+ | Afin de vérifier l' | ||
=== Les fichiers de sites-enabled (vhost) === | === Les fichiers de sites-enabled (vhost) === | ||
Ligne 320: | Ligne 344: | ||
Je n'ai sans doute pas tout compris, ou alors ce n'est pas compatible avec ma version d' | Je n'ai sans doute pas tout compris, ou alors ce n'est pas compatible avec ma version d' | ||
- | --- //[[wiki:user: | + | --- // |
</ | </ | ||
Ligne 343: | Ligne 367: | ||
Cela devrait marcher. À répeter sur chaque VM du réseau. | Cela devrait marcher. À répeter sur chaque VM du réseau. | ||
+ | === Virer les traqueurs de Facebook === | ||
+ | Si vos liens se baladent sur Facebook, vos visiteurs vont visiter vos pages avec un tracker collé à l'url, du type '' | ||
+ | |||
+ | On se fait un petit fichier appelé " | ||
+ | < | ||
+ | # Des bidouilles à inclure partout. | ||
+ | |||
+ | # Pour virer le tracker de Facebook | ||
+ | < | ||
+ | RewriteEngine On | ||
+ | RewriteCond %{QUERY_STRING} ^(.*)(?: | ||
+ | RewriteCond %1%2 (^|& | ||
+ | RewriteRule ^(.*) $1?%2 [R=301,L] | ||
+ | </ | ||
+ | |||
+ | </ | ||
+ | |||
+ | Ensuite on appelle ce fichier dans nos vhost actifs : | ||
+ | < | ||
+ | < | ||
+ | ServerName monsite.fr | ||
+ | |||
+ | # toute configuration utile en rab... | ||
+ | | ||
+ | # bidouilles perso | ||
+ | Include / | ||
+ | |||
+ | </ | ||
+ | |||
+ | |||
+ | Relancer apache et voilà, ça marche. | ||
+ | |||
+ | Astuce tirée de [[https:// | ||
{{tag> Serveur Sysadmin Sécurité }} | {{tag> Serveur Sysadmin Sécurité }} |