Ne pas oublier de configure l'option AllowOverride à "all", sinon le fichier .htaccess ne sera pas pris en compte.
Cela peut se faire dans /etc/apache2/sites-enabled/000-default pour apache2.
https
Pour les certificats, le mieux est d'utiliser un certificat gratuit fourni par
cacert.org, mais la mise en place semble assez longue.
J'ai opté pour un certificat auto signé, comme indiqué dans la documentation d'ubuntu.
Pour plus de discrétion par rapport aux scans de ports sur internet, modifier le port dans sites-enabled et ports.conf
Limiter la bannière
Inutile de donner des informations aux attaquants potentiels, limitons la bannière apache au minimum, en replaçant dans /etc/apache2/conf.d/security
ServerTokens Full
par
ServerTokens MinimalIl est même possible de suppromer complètement la signature en mettant la variable ServerSignature à Off.
Interdire le référencement par les moteurs de recherche
L'utilisation du fichier robots.txt permet d'interdire aux moteurs de recherche de référencer le site. Voilà son contenu :
Tests
Après avoir testé votre serveur dans le réseau local, testez le depuis un proxy.
Articles
