====== Aller plus loin avec Apache ======
===== Ajouter le hostname du serveur dans les headers =====
On vérifie que le mod ''headers'' est bien actif :
<code bash>a2enmod headers</code>
On ajoute la ligne suivante au fichier ''/usr/sbin/apache2ctl'' pour générer une variable contenant le nom d’hôte :
<code /usr/sbin/apache2ctl>
[...]
export HOSTNAME=`hostname`
</code>
Enfin, il faut récupérer la variable en ajoutant ces deux lignes à la fin du fichier ''/etc/apache2/apache2.conf'' :
<code /etc/apache2/apache2.conf>
PassEnv HOSTNAME
Header add X-Server-Name "%{HOSTNAME}e"
</code>
===== Autoriser ou bloquer des IP via .htaccess =====
Pour du Apache > 2.4.
\\
\\
Pour bloquer des IP :
<code .htaccess>
Order allow,deny
Deny from 10.1.1.10
Deny from 10.1.1.11
Allow from all
</code>
Pour Autoriser seulement des IP :
<code .htaccess>
Order deny,allow
Deny from all
Allow from 10.1.1.21
Allow from 10.1.1.22
</code>
===== Récupérer l'IP client réelle derrière un reverse proxy Nginx =====
Avec ''Apache > 2.4''.
\\
\\
Dans la configuration du reverse proxy Nginx, on a :
<code bash>proxy_set_header X-Real-IP $remote_addr;</code>

On active le mod ''remoteip'' pour notre Apache :
<code bash>a2enmod remoteip</code>
On édite son fichier de configuration :
<code bash>nano /etc/apache2/conf-available/remoteip.conf</code>
<code /etc/apache2/conf-available/remoteip.conf>
# On récupère la vraie IP via le header
RemoteIPHeader X-Real-IP
# En faisant confiance à l'IP de notre reverse proxy 
RemoteIPTrustedProxy 10.0.0.1 ::1
</code>
On recharge la configuration dans Apache, et on relance le service :
<code bash>a2enconf remoteip
service apache2 restart
</code>
===== Hardening .httaccess =====
Voir : [[https://perishablepress.com/6g/]]
\\
\\
Plusieurs listes de snippets et tweaks pour le fichier ''.htaccess'' :
  * [[https://github.com/phanan/htaccess]]
  * [[https://perishablepress.com/stupid-htaccess-tricks/]]
  * [[https://www.askapache.com/htaccess/]]
===== htaccess : rediriger www.domain.tld vers domain.tld =====
<code .htaccess>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ http://%1/$1 [R=301,L]
</code>
===== Reverse proxy avec Apache en https, qui demande en simple http une ressource =====
Après la directive de ''ProxyPass'', ajouter :
<code bash>Header edit Location "(^http://)([^/]+)" ""</code>
Pour ne pas servir les ressources en ''http'' mais en ''https'' comme demandé, voir [[http://shaarli.guiguishow.info/?V1ejZg]]
===== Troll avec redirection =====
Dans un ''.htaccess'', on va rediriger l'url de la page de login Wordpress (qui n'est pas présent) vers un script de zipbomb (voir : ''https://blog.haschek.at/post/f2fda'') :
<code bash>RedirectPermanent "/wp-login.php" "/zipbomb.php"</code>
===== Protéger un dossier par mot de passe =====
Via ''https://www.linuxtricks.fr/wiki/apache-proteger-un-dossier-par-mot-de-passe''
On édite le fichier ''.htaccess'' du dossier à protéger et on lui ajoute :
<code .htaccess>
AuthName "Restricted Content"
AuthType Basic
AuthUserFile /var/www/mysite/share/.htpasswd
Require valid-user
</code>
On génère un mot de passe pour l'utilisateur voulu :
<code bash>htpasswd -cm /var/www/mysite/share/.htpasswd <my-user></code>