Discussion :

[nazoreen]

Bonjour à tous,

Je commence un projet où tout doit être sécurisé, pour cela je vais avoir besoin de vos lumières.

J'utilise EasyPHP et Wamp Server pour les développements et je peux modifier à loisir les serveurs de production.

Donc auriez vous des fichiers complets de php.ini et httpd.conf avec une sécurité maximum ? Je ferais ensuite les modifications pour les modules ou directives dont j'ai besoin, mais je veux partir sur une base saine.

J'ai lu diverses choses sur les façon de sécuriser un serveur par ses fichiers, mais je suis certain qu'il manque des informations (étant donné que beaucoup de sites pompent les informations sur d'autres sites !)

Donc si vous avez ça en magasin, peu importe les versions Apache et PHP je comparerais par la suite entre les différentes versions que j'utilise, ça serait cool...

Pour le développement et la sécurité de base, je n'utilise que du php et des images, j'ai besoin des fonctions include de php et j'utilise au maximum les directives htaccess pour limiter les accès répertoires/fichiers et faire le rewriting, bref comme pour toute procédure de sécurité, j'interdis tout et j'autorise uniquement au fur et à mesure du développement ce dont j'ai besoin.

Le projet dont il est question tournera sur Apache2 et PHP5.

Merci à tous !

A bientôt...

[Yogui]

Salut

Je peux te recommander l'article PHP Secure (qui explique comment configurer le fichier php.ini).
Concernant Apache, voici un article pour le configurer sous Windows et un autre pour Linux.

Je ne peux pas te donner de fichiers tout prêts car il est largement préférable d'étudier les directives de configuration qque de prendre quelque chose de tout prêt, n'est-ce pas ?

N'oublie pas de configurer l'utilisateur système ainsi que le système de fichiers : c'est presque plus important que le reste !

[nazoreen]

Merci, ça m'a bien aidé, j'ai encore sécurisé un peu plus les fichiers php.ini et httpd.conf :-)

Pour l'utilisateur système et système de fichiers, j'ai déjà configuré mon Linux, mais merci d'y avoir pensé :-)

Ne me reste plus qu'à coder en conséquence :-) Ca ne devrait pas être trop difficile, il suffira juste de me rappeler ce que j'ai désactivé ou activé (selon !)

Si ça intéresse quelqu'un, n'hésitez pas à demander que je mette ici les fichiers pour que vous puissiez comparer, voir trouver encore des possibilités de failles.

A bientôt...

[ramirou]

Je te conseille d'utiliser le mod security pour Apache.

Plus d'infos ici : http://www.modsecurity.org/

[nazoreen]

Bonjour,

Je l'avais oublié celui-là, merci de m'avoir rafraichit la mémoire :-)

A bientôt...