Outils pour utilisateurs

Outils du site

Piste : exe
linux:apache (lu 76550 fois)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
linux:apache [15-05-2012 12:09] edmc73linux:apache [03-10-2019 14:26] (Version actuelle) – [htcacheclean] edmc73
Ligne 2: Ligne 2:
 Cette page est juste un mémo Cette page est juste un mémo
  
 +Docs => http://devdocs.io/apache_http_server/
  
 +===== Commandes utiles =====
 +
 +Tester les configs avant de faire un reload ou un restart
 +  apache2ctl -t
 +
 +reloader, restarter etc..
 +  service apache2 restart
 +  /etc/init.d/apache2 restart
 +  apache2ctl restart
 +
 +Afficher les modules chargés
 +  apache2ctl -t -D DUMP_MODULES
 +ou
 +  apache2ctl -M
 +
 +D'autre commande 
 +  apache2ctl -h
 +
 +Afficher le status
 +  apache2ctl status
 +
 +Encore plus détaillé
 +  apache2ctl fullstatus
 +
 +===== Configuration de base =====
 +
 +La doc => http://httpd.apache.org/docs/2.2/fr/
 +
 +Le minimum pour un accès avec un nom de domaine
 +<code apache>
 +# Apache doit écouter sur le port 80
 +Listen 80
 +
 +# Toutes les adresses IP doivent répondre aux requêtes sur les 
 +# serveurs virtuels
 +NameVirtualHost *:80
 +
 +<VirtualHost *:80>
 +DocumentRoot /www/example.com
 +ServerName www.example1.com
 +
 +# Autres directives ici
 +
 +</VirtualHost>
 +
 +<VirtualHost *:80>
 +DocumentRoot /www/example.org
 +ServerName www.example2.org
 +
 +# Autres directives ici
 +
 +</VirtualHost>
 +</code>
 +
 +Les directives
 +<code apache>
 +<Directory /usr/local/httpd/htdocs>
 +  AllowOverride None
 +  Options Indexes FollowSymLinks
 +</Directory>
 +</code>
 +
 +Les options
 +
 +  * AllowOverride None / All : permet la prise en compte des fichiers .htaccess (plus d'options dans la doc http://httpd.apache.org/docs/2.2/fr/mod/core.html#allowoverride )
 +  * Options : par défaut All (toutes les options sauf MultiViews). Plus d'options dans la doc http://httpd.apache.org/docs/2.2/fr/mod/core.html#options)
 +    * None : Désactive toutes les fonctions
 +    * ExecCGI : Exécution de scripts CGI permise
 +    * FollowSymLinks : Permet au serveur de suivre les liens symboliques
 +    * Indexes : Affiche la liste des fichiers contenu dans le répertoire si aucun fichier index.html/php n'est présent
 +    * MultiViews : Permet au serveur d'exécuter un fichier qui ressemblerait au fichier demandé si il n'existe pas. ex: un appel à /fichier exécutera /fichier.php si /fichier n'existe pas mais que /fichier.php existe
 +
 +Accès par mot de passe
 +<code apache>
 +#accès au fichier de mot de passe généré par la commande htpasswd
 +AuthUserFile .htpasswd
 +AuthGroupFile /dev/null
 +AuthName "Ce message s'affichera dans la boite de dialogue demandant l'identification"
 +AuthType Basic
 +<Limit GET POST>
 +  require valid-user
 +</Limit>
 +</code>
 ===== Installation de Apache2-mpm-worker ===== ===== Installation de Apache2-mpm-worker =====
 +http://www.skyminds.net/serveur-dedie-installation-dapache-php-mysql-et-webmin/
 +
  
 Voici les paquets standards à installer Voici les paquets standards à installer
Ligne 127: Ligne 213:
 par par
   create 644 root adm   create 644 root adm
 +
 +
 +==== internal dummy connection ====
 +
 +--- source: https://blog.nicolargo.com/2011/03/supprimer-les-logs-apache-internal-dummy-connection.html
 +
 +Si vous avez plein de log apache avec des lignes **internal dummy connection**, créez un fichier de conf avec
 +
 +  # Filters
 +  SetEnvIf Remote_Addr "127\.0\.0\.1" local
 +  SetEnvIf Remote_Addr "\:\:1" local
 +
 +Ensuite, on doit activer ce filtre le fichier de définition de votre site (sous le répertoire /etc/apache2/site-enabled). Il faut modifier la ligne suivante:
 +  CustomLog /var/log/apache2/www-access.log combined env=!local
 +
 +Un restart d'apache pour appliquer
      
 ===== Lorsque Apache est installé dans un NAT à travers d'un reverse proxy ===== ===== Lorsque Apache est installé dans un NAT à travers d'un reverse proxy =====
Ligne 164: Ligne 266:
   error_reporting = E_ALL & ~E_DEPRECATED & ~E_NOTICE   error_reporting = E_ALL & ~E_DEPRECATED & ~E_NOTICE
  
 +Ensuite on recharge apache2
 +  service apache2 reload
  
 +Quelques préconisations de configuration et sécurité => http://wiki.goldzoneweb.info/configuration_securisation_et_optimisations_de_php
 +===== ALERT - script tried to increase memory_limit =====
 +
 +Quand on a Wordpress d'installé, on peut remarqué dans le syslog de nombreuses lignes d'alerte de suhosin
 +  suhosin[20206]: ALERT - script tried to increase memory_limit  to 268435456 bytes which is above the allowed value (attacker '82.xxx.xxx.xxx', file '/var/www/xxxxx', line 12)
      
 +On édite le fichier de config php qui ici tourne comme un cgi **/etc/php5/cgi/php.ini** on cherche la variable **memory_limit** et on la fixe à 256M
 +  ; Maximum amount of memory a script may consume (128MB)
 +  ; http://php.net/memory-limit
 +  memory_limit = 256M
 +
 +===== Les mods d'apache =====
 +
 +==== expires ====
 +
 +doc : http://httpd.apache.org/docs/current/fr/mod/mod_expires.html
 +
 +Il est important de mettre en cache certains fichiers qui ne bougent jamais comme les images, scripts js et fichiers css. Le cache en question est situé côté client et économisera de la bande passante sur le serveur.
 +
 +  <IfModule mod_expires.c>
 +        ExpiresActive On
 +        ExpiresByType image/gif "access plus 30 days"
 +        ExpiresByType image/jpg "access plus 30 days"
 +        ExpiresByType image/jpeg "access plus 30 days"
 +        ExpiresByType image/png "access plus 30 days"
 +        ExpiresByType image/x-icon "access plus 30 days"
 +        ExpiresByType text/css "access plus 1 days"
 +        ExpiresByType application/x-javascript "access plus 3 days"
 +  </IfModule>
 +
 +=====  mod_fcgid: read data timeout in 40 seconds =====
 +
 +Si vous voyez ça dans vos log, il vous faut rajouter ça dans **/etc/apache2/mods-available/fcgid.conf**
 +
 +  IPCCommTimeout 240
      
- --- //auteur [[user:edmc73|edmc73]]//+===== Tester les performances ===== 
 + 
 +Avec **httperf** voir très bon tuto => http://www.synbioz.com/blog/benchmark_avec_httperf 
 + 
 +Un outils intégré avec apache, **ab** pour apache benchmark 
 + 
 +Pour tester une url avec 2000 requêtes dont 10 en simultanées 
 +  ab -c 10 -n 2000 'https://mon_serveur/url_a_bourriner' 
 + 
 + 
 + 
 +Pour envoyer en POST, créer un fichier **post.txt** avec les paramètres urlencodé 
 +  email=toto%40toto.fr&variable=1 
 + 
 +Utilisez la commande suivante 
 +  ab -p post.txt -T 'application/x-www-form-urlencoded' -c 10 -n 2000 'https://mon_server/api/test' 
 + 
 + 
 +===== Sécurité ===== 
 + 
 +Pour cacher la version de apache et autre 
 +  vi /etc/apache2/conf.d/security 
 + 
 +  ServerTokens Prod 
 +  ServerSignature Off 
 +  TraceEnable Off 
 +   
 +Pour cacher la version de php, modifiez php.ini et configurer la variable suivante 
 +  expose_php = Off 
 + 
 + 
 +===== apache2-mpm-itk ===== 
 +Après quelques années d'expériences avec apache2, nous avons abandonné la version worker au profit de la version prefork. Aujourd'hui nous passons de prefork à itk. 
 + 
 +La migration se fait sans douleurs avec un  
 +  apt-get install apache2-mpm-itk 
 + 
 +Ceci remplace apache2-mpm-prefork et toute la config reste compatible sans problème. 
 + 
 +Le mpm itk permet de choisir un uid:gid différent pour chaque virtual-host et ce sans avoir recours aux cgi ou aux modules suexec ou suphp, ce qui est extrêmement pratique dans le cadre d’un hébergement mutualisé ainsi que dans certains cas pratiques. 
 + 
 +Coté sécurité, le mpm itk permet d’isoler la configuration de chaque vhost directement dans son fichier de configuration. 
 + 
 +Il n'y a plus qu'a créer un utilisateur et de rajouter ces lignes dans vos config 
 +  <IfModule mpm_itk_module> 
 +    AssignUserId username groupname 
 +  </IfModule> 
 + 
 +Plus d'info : 
 +  * http://bibabox.fr/apache2-mpm-itk-utiliser-un-utiliser-un-utilisateur-different-pour-chaque-vhost/ 
 +  * http://www.it-connect.fr/serveur-web-mutualise-55-des-pistes-de-securisation/ 
 + 
 + 
 + 
 + 
 + 
 +===== En cas de piratage ===== 
 + 
 +Restaurer une sauvegarde et comparer les répertoires avec **diff** 
 +  diff -qr repOK repHACKED 
 + 
 +Recopier que les fichiers qui ont changé avec **rsync** 
 +  rsync -avP repOK repHACKED 
 + 
 +Refaite un diff pour des nouveaux fichiers ne serait pas resté tout seul 
 + 
 + 
 + 
 +Comparer les logs 
 + 
 + 
 +===== Debian 10 Apache 2.4 php7.3 ===== 
 + 
 +Sur la dernière debian, apache est par défaut apache mpm event. 
 +Plus question ici d'installer le module apache php. Pour activer php, suivez les commandes 
 + 
 +  apt install php7.3-fpm 
 +  a2enmod proxy_fcgi 
 +  a2enconf php7.3-fpm 
 +  systemctl restart apache 
 + 
 +le module itk n'est plus nécessaire, maintenant on peut gérer les users directement dans la config des pools php 
 + 
 +=> doc: https://villalard.net/utiliser-apache-avec-php-fpm 
 + 
 +<code> 
 +# cd /etc/php/7.3/fpm/pool.d 
 +# ls 
 +www.conf 
 + 
 +cp www.conf dev.conf 
 +vi dev.conf 
 + 
 +</code>   
 + 
 +On modifie au minimum 
 +<code> 
 +; Start a new pool named 'www'
 +; the variable $pool can be used in any directive and will be replaced by the 
 +; pool name ('www' here) 
 +[dev] 
 + 
 +; Unix user/group of processes 
 +; NoteThe user is mandatory. If the group is not set, the default user's group 
 +;       will be used. 
 +user = edmc 
 +group = edmc 
 + 
 +; The address on which to accept FastCGI requests. 
 +; Valid syntaxes are: 
 +;   'ip.add.re.ss:port'    - to listen on a TCP socket to a specific IPv4 address on 
 +;                            a specific port; 
 +;   '[ip:6:addr:ess]:port' - to listen on a TCP socket to a specific IPv6 address on 
 +;                            a specific port; 
 +;   'port'                 - to listen on a TCP socket to all addresses 
 +;                            (IPv6 and IPv4-mapped) on a specific port; 
 +;   '/path/to/unix/socket' - to listen on a unix socket. 
 +; Note: This value is mandatory. 
 +listen = /run/php/dev.sock 
 +</code> 
 + 
 +ensuite on adapte notre config apache 
 +<code> 
 +        <FilesMatch \.php$> 
 +                SetHandler "proxy:unix:/run/php/dev.sock|fcgi://localhost/" 
 +        </FilesMatch> 
 +</code> 
 + 
 +on restart php et apache 
 +  systemctl restart php7.3-fpm.service apache2.service 
 + 
 +et voila :) 
 + 
 +===== htcacheclean ===== 
 + 
 +Activez les modules 
 +  a2enmod mod_cache mod_cache_disk 
 + 
 +Dans la config du site, pour un cache de 60 secondes 
 +<code apache> 
 +    <IfModule mod_cache.c> 
 +      <IfModule mod_cache_disk.c> 
 +        #LogLevel debug 
 +        CacheRoot /var/cache/apache2/mod_cache_disk 
 +        CacheDefaultExpire 60 
 +        CacheMinExpire 60 
 +        CacheMaxExpire 60 
 +        CacheEnable disk / 
 +        #CacheDetailHeader On 
 +        CacheHeader On 
 +        CacheIgnoreCacheControl On 
 +        CacheIgnoreNoLastMod On 
 +        CacheStoreNoStore On 
 +        CacheStoreExpired On 
 +        #CacheIgnoreHeaders None 
 +        #CacheDisable "/index.php" 
 +        #UnsetEnv no-cache 
 +      </IfModule> 
 +    </IfModule> 
 +</code> 
 + 
 +Voir les fichiers en cache 
 +  htcacheclean -A -p/var/cache/apache2/mod_cache_disk 
 + 
 +Si vous avez configuré un autre répertoire que celui par défaut, la purge ne se fera pas, mettez un cron 
 +  0 */2 * * * /usr/bin/htcacheclean -n -t -p/home/user/apache2_mod_cache_disk -l100M 
 + 
 +Cette exemple purge toutes les 2 heures en vérifiant que la taille globale ne dépasse pas 100Mo, ''-t'' supprimer les répertoires vide (important car il peut vite y'en avoir un paquet), ''-n'' met une priorité basse au processus afin de ne pas bloquer le serveur.
linux/apache.1337083785.txt.gz · Dernière modification : 04-04-2013 20:05 (modification externe)

Outils de la page

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki