evolix/wiki
22
0
Fork 0
Code Releases Activity

Ajout whitelist mod_evasive

Browse source
This commit is contained in:
emorino 2017-10-09 10:09:43 +02:00
parent 73e9a99c85
commit a897918f3e
1 changed files with 9 additions and 1 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

10
HowtoApache.md
View file

@ -284,7 +284,7 @@ ErrorLog log/error.log
### Logué la taille de la requête et le temps dexécution
Si l'on veut logué, dans un log séparé, la taille de la requête et le temps dexécution par Apache de cette requête, on peut créer une configuration apache avec le LogFormat suivant, dans */etc/apache2/conf-available/access-log-time.conf* :
Si l'on veut loguer, dans un log séparé, la taille de la requête et le temps dexécution par Apache de cette requête, on peut créer une configuration apache avec le LogFormat suivant, dans */etc/apache2/conf-available/access-log-time.conf* :
~~~
LogFormat "%h %t \"%r\" %B %D" measure-time
@ -516,6 +516,14 @@ Le module **mod_evasive** permet de limiter certaines attaques DoS en limitant l
Attention, pour certains sites avec de nombreuses ressources statiques sur le même serveur HTTP, il faut souvent désactiver **mod_evasive** pour éviter des faux-positifs et ne l'utiliser qu'en cas d'attaques récurrentes.
On peut mettre en liste blanche une ip ou une plage d'ip, pour que le mod_evasive ignore les requêtes venant de ceux-ci :
~~~
DOSWhitelist 192.168.0.*
~~~
On peut aussi utiliser un wildcard * peut être autorisé sur les 3 derniers octets, si nécessaire.
### Fail2Ban
[Fail2Ban](HowtoFail2Ban) est indépendant d'Apache, mais peut être utilisé pour de la détection plus précise que *mod_evasive* : il va lire en permanence les journaux générés par Apache (ce qui peut être coûteux en ressources) et il pourra bannir des adresses IP si cela répond à certaines règles comme trop de connexions à une page d'authentification par exemple.