« Security/Services/Apache » : différence entre les versions

De TartareFR
Aller à la navigation Aller à la recherche
(Annulation des modifications 2702 de Didier (discussion))
 
(27 versions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
= Sécuriser son serveur Apache =
<big>'''Sécuriser son serveur Apache'''</big>
{{Admon/logo|TuxCRS.png}}
{{Admon/logo|TuxCRS.png}}
C'est ballot de mettre une serrure aux fenêtres si la porte reste grande ouverte.
C'est ballot de mettre une serrure aux fenêtres si la porte reste grande ouverte.
Ligne 145 : Ligne 145 :
</syntaxhighlight>
</syntaxhighlight>


===Run mod_security===
=== Désactiver le debug des connexions HTTP : TRACE et TRACK ===


mod_security is a super handy Apache module written by Ivan Ristic, the author of Apache Security from O'Reilly press.
Il faut spécifier la directive suivante. Elle est supportée sur tous les Apaches 2.2 et supérieur.


You can do the following with mod_security:
<syntaxhighlight lang="apache">
TraceEnable Off
</syntaxhighlight>
 
{{Admon/tip|Apache < 2.0.55 ou 1.3.34|Il faut activer le module rewrite et ajouter les lignes suivantes au fichier <path>/etc/httpd/conf/httpd.conf</path>
<syntaxhighlight lang="apache">
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
</syntaxhighlight>}}


*Simple filtering
=== Activer le module mod_security ===
*Regular Expression based filtering
*URL Encoding Validation
*Unicode Encoding Validation
*Auditing
*Null byte attack prevention
*Upload memory limits
*Server identity masking
*Built in Chroot support
*And more


===Disable any unnecessary modules===
[[Webserver/Apache/Modules/Security|mod_security]] est un module Apache écrit par Ivan Ristic, l'auteur du livre ''Apache Security'' des éditions O'Reilly.


Apache typically comes with several modules installed. Go through the apache module documentation and learn what each module you have enabled actually does. Many times you will find that you don't need to have the said module enabled.
[[Webserver/Apache/Modules/Security|mod_security]] peut:
*Filtrage simple
*Filtre basé sur des expressions régulières
*Validation de l'encodage d'URL
*Validation de l'encodage Unicode
*Audit
*Prévention des attaques ''Null byte''
*Respect d'un quota pour la mémoire
*Masquage de l'identité du serveur Web
*Support du chroot
*Et bien d'autres choses encore...


Look for lines in your httpd.conf that contain LoadModule. To disable the module you can typically just add a # at the beginning of the line. To search for modules run:
=== Désactivation des modules non-utilisés ===
 
Apache est fournit avec un nombre conséquent de modules. Après analyse de la documentation de chaque module, il faut déterminer si le module est nécessaire pour l'installation.
 
On peut désactiver le chargement des modules non-utilisés en commentant la ligne commençant par ''LoadModule'' pour le module en question (Ajout d'un '''#''' en début de ligne).
 
Pour lister les modules d'Apache
<syntaxhighlight lang="bash">
<syntaxhighlight lang="bash">
grep LoadModule httpd.conf
grep LoadModule httpd.conf
</syntaxhighlight>
</syntaxhighlight>


Here are some modules that are typically enabled but often not needed: mod_imap, mod_include, mod_info, mod_userdir, mod_status, mod_cgi, mod_autoindex.
Les modules suivants sont généralement activés par défaut mais ne sont utiles que dans des cas bien précis:
Make sure only root has read access to apache's config and binaries
*mod_imap
*mod_include
*mod_info
*mod_userdir
*mod_status
*mod_cgi
*mod_autoindex
 
{| class="wikitable"
|+ Main module summary
!Module's name
!Description
|-
|core
|The core Apache features, required in every Apache installation.
|-
|http_core
|The core http support, required in every Apache 2.0 installation.
|-
|prefork
|Multi-Processing Module (MPM) that implements a non-threaded, pre-forking web server. Can be replaced by other multiprocessing module, e.g. worker , threadpool etc. The MPM module is required in every Apache 2.0 installation.
|-
|mod_access
|Provides access control based on client hostname, IP address, or other characteristics of the client request. Because this module is needed to use "order", "allow" and "deny" directives, it should remain enabled.
|-
|mod_auth
|Required in order to implement user authentication using text files (HTTP Basic Authentication), which was specified in functionality assumptions.
|-
|mod_dir
|Required to search and serve directory index files: "index.html", "default.htm", etc.
|-
|mod_log_config
|Required to implement logging of the requests made to the server.
|-
|mod_mime
|Required to set the character set, content- encoding, handler, content-language, and MIME types of documents.
|}
 
=== S'assurer que seul root puisse accéder à la configuration d'Apache ===


This can be done assuming your apache installation is located at /usr/local/apache as follows:
<syntaxhighlight lang="bash">
<syntaxhighlight lang="bash">
chown -R root:root /usr/local/apache
chown -R root:root /etc/httpd
chmod -R o-rwx /usr/local/apache
chmod -R o-rwx /etc/httpd
</syntaxhighlight>
</syntaxhighlight>


===Lower the Timeout value===
=== Baisser la valeur du timeout ===


By default the Timeout directive is set to 300 seconds. You can decrease help mitigate the potential effects of a denial of service attack.
Par défaut, le timeout est fixé à 300 secondes. On peut baisser cette valeur afin de limiter les effets des attaques par déni de service.
<syntaxhighlight lang="apache">
<syntaxhighlight lang="apache">
Timeout 45
Timeout 45
</syntaxhighlight>
</syntaxhighlight>


===Limiting large requests===
=== Limiter la taille des requêtes ===


Apache has several directives that allow you to limit the size of a request, this can also be useful for mitigating the effects of a denial of service attack.
Apache possède quelques directives pour limiter la taille des requêtes, Cela peut aussi être utile pour limiter les attaques par déni de service.


A good place to start is the LimitRequestBody directive. This directive is set to unlimited by default. If you are allowing file uploads of no larger than 1MB, you could set this setting to something like:
On limite tout d'abord la taille des requêtes avec la directive ''LimitRequestBody''. La valeur par défaut est ''Illimité''. Si la taille maximum des fichiers uploadés est plus petit que 1MB, on peut fixer la valeur à 1048576.
<syntaxhighlight lang="apache">
<syntaxhighlight lang="apache">
LimitRequestBody 1048576
LimitRequestBody 1048576
</syntaxhighlight>
</syntaxhighlight>


If you're not allowing file uploads you can set it even smaller.
Cette valeur peut encore être plus faible si l'upload n'est pas autorisé.


Some other directives to look at are LimitRequestFields, LimitRequestFieldSize and LimitRequestLine. These directives are set to a reasonable defaults for most servers, but you may want to tweak them to best fit your needs. See the documentation for more info.
Quelques autres directives comme ''LimitRequestFields'', ''LimitRequestFieldSize'' et ''LimitRequestLine'' sont déjà mise à des valeurs raisonnables pour la plupart des serveurs mais rien n'empêche de faire un ajustage plus fin.


===Limiting the size of an XML Body===
=== Limiter la taille des requêtes XML ===


If you're running mod_dav (typically used with subversion) then you may want to limit the max size of an XML request body. The LimitXMLRequestBody directive is only available on Apache 2, and its default value is 1 million bytes (approx 1mb). Many tutorials will have you set this value to 0 which means files of any size may be uploaded, which may be necessary if you're using WebDAV to upload large files, but if you're simply using it for source control, you can probably get away with setting an upper bound, such as 10mb:
Si le module '''mod_dav''' est activé ( pour subversion notamment ), on peut limiter la taille des requêtes XML avec la directive ''LimitXMLRequestBody''. Cette directive est uniquement disponible depuis apache 2 et est fixée par défaut à approximativement 1 million bytes (un peu plus qu'1Mo). Cette valeur est souvent mise à 0 pour ne pas limiter la taille des fichiers uploadés avec WebDAV, mais pour un simple dépôt de fichier source, on peut le fixer à approximativement 10Mo.
<syntaxhighlight lang="apache">
<syntaxhighlight lang="apache">
LimitXMLRequestBody 10485760
LimitXMLRequestBody 10485760
</syntaxhighlight>
</syntaxhighlight>


===Limiting Concurrency===
=== Limiter les accès concurrents ===


Apache has several configuration settings that can be used to adjust handling of concurrent requests. The MaxClients is the maximum number of child processes that will be created to serve requests. This may be set too high if your server doesn't have enough memory to handle a large number of concurrent requests.
Apache has several configuration settings that can be used to adjust handling of concurrent requests.


Other directives such as MaxSpareServers, MaxRequestsPerChild, and on Apache2 ThreadsPerChild, ServerLimit, and MaxSpareThreads are important to adjust to match your operating system, and hardware.
La directive ''MaxClients'' est le nombre maximum de processus enfant créés pour satisfaire les requêtes. Il ne doit pas être trop élevé si le serveur n'a pas assez de mémoire pour gérer l'accès à de nombreux fichiers simultanément.


===Restricting Access by IP===
Les autres directives telles que ''MaxSpareServers'', ''MaxRequestsPerChild'', ''ThreadsPerChild'', ''ServerLimit'', et ''MaxSpareThreads'' doivent être ajustées en fonction du système d'exploitation et des paramètres du serveur physique ( RAM, CPU, etc...).


If you have a resource that should only by accessed by a certain network, or IP address you can enforce this in your apache configuration. For instance if you want to restrict access to your intranet to allow only the 176.16 network:
=== Restriction d'accès par adresse IP ===


Si certaines ressources ne doivent être servies que pour certaines adresses ou plages d'adresses IP, il convient de restreindre l'accès de celle-ci dans la configuration d'Apache.
Restriction à la plage d'adresse 192.168.0.0/24.
<syntaxhighlight lang="apache">
<syntaxhighlight lang="apache">
Order Deny,Allow
Order Deny,Allow
Deny from all
Deny from all
Allow from 176.16.0.0/16
Allow from 192.168.0.0/24
</syntaxhighlight>
</syntaxhighlight>


Or by IP:
Restriction sur une adresse IP.
<syntaxhighlight lang="apache">
<syntaxhighlight lang="apache">
Order Deny,Allow
Order Deny,Allow
Ligne 230 : Ligne 285 :
</syntaxhighlight>
</syntaxhighlight>


===Adjusting KeepAlive settings===
=== Ajustage des connexions persistantes ===
 
D'après la documentation d'Apache, les connexions persistantes augmentent les performances de 50%, donc ces paramètres doivent être modifiés avec précaution.
 
Les connexions persistantes sont activés par défaut et doivent le rester. Toutefois un ajustage du nombre de connections persistantes, ainsi que du timeout peut être entrepris après une analyse très poussée des journaux d'Apache afin de déterminer les meilleures valeurs. par défaut le nombre de connections persistantes est fixé à 100 et le timeout à 15.


According to the Apache documentation using HTTP Keep Alive's can improve client performance by as much as 50%, so be careful before changing these settings, you will be trading performance for a slight denial of service mitigation.
=== Méthode d'authentification ===


KeepAlive's are turned on by default and you should leave them on, but you may consider changing the MaxKeepAliveRequests which defaults to 100, and the KeepAliveTimeout which defaults to 15. Analyze your log files to determine the appropriate values.
Il préférable d'utiliser la méthode Digest en lieu et place de la méthode Basic, surtout si le protocole est [[HTTP/Code|'''http''']]. En effet le login et le mot de passe passe en clair sur le réseau avec la méthode Basic.


===Run Apache in a Chroot environment===
[[Webserver/Apache/Authentification|Méthodes d'authentification avec Apache]]


chroot allows you to run a program in its own isolated jail. This prevents a break in on one service from being able to effect anything else on the server.
=== Exécuter Apache dans un environnement Chroot ===


It can be fairly tricky to set this up using chroot due to library dependencies. I mentioned above that the mod_security module has built in chroot support. It makes the process as simple as adding a mod_security directive to your configuration:
Un Chroot permet d'exécuter un programme dans une prison isolée. Cela permet de limiter l'intrusion à ce seul service.
 
Ce n'est pas vraiment facile d'exécuter Apache dans un chroot, notamment à cause des dépendances des librairies. Toutefois le module '''mod_security''' le permet très facilement en ajoutant la directive suivante à la configuration d'Apache.


<syntaxhighlight lang="apache">
<syntaxhighlight lang="apache">
SecChrootDir /chroot/apache
SecChrootDir /chroot/apache
</syntaxhighlight>
</syntaxhighlight>
There are however some caveats however, so check out the docs for more info.


== PHP ==
== PHP ==

Dernière version du 13 mai 2014 à 07:51

Sécuriser son serveur Apache

TuxCRS.png

C'est ballot de mettre une serrure aux fenêtres si la porte reste grande ouverte.

C'est pourquoi, avant même de penser à sécuriser Apache, quelques sécurités de base doivent préalablement être mise en place:

  • Firewall: C'est le premier rempart de la sécurité
  • Protection basique contre le flood. Cela peut être fait avec une règle firewall du type iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
  • Avoir au moins un service de détection d'intrusion: <package>ossec</package>, <package>snort</package> et/ou autres...
  • Vérifier régulièrement la présence de rootkits avec les outils <package>chkrootkit</package>, <package>rkhunter</package>, etc...
  • Surveiller les logs.
  • Mettre son système à jour régulièrement. En effet si les logiciels ne sont pas à jour ou que les patchs de sécurités ne sont pas appliqués, la sécurisation n'aurait pas de sens et ne serait qu'un arbre qui cache la forêt.

Apache

Cacher le numéro de version et autres informations sensibles

Par défaut, Apache rapporte les informations suivantes:

  • numéro de version d'Apache
  • Liste des modules installés
  • Système d'exploitation et numéro de version de celui-ci

Ajout/modification des directives dans le fichier <path>/etc/httpd/conf/httpd.conf</path> 

ServerSignature Off
ServerTokens Prod

La clé ServerSignature provoque l'affichage d'informations sensibles dans les pages d'erreur (403, 404 notamment), ainsi que dans les pages auto-générées listant les fichiers du répertoire.

La clé ServerTokens est utilisée pour déterminer si des informations doivent apparaître dans l'en-tête de réponse. Si la valeur de cette clé est Prod, la seule information sera: 

Server: Apache
Note.png
Pour les paranoïaques
Pour qu'Apache rapporte autre chose que apache , il faut soit éditer les sources, soit utilisé le module mod_security

S'assurer qu'apache tourne avec son propre user et group

Beaucoup de serveurs web tourne avec le user nobody ou daemon. Dans le cas où Apache serait compromis, tous les processus utilisant le même user le serait aussi rapidement, et inversement. 

User apache
Group apache

S'assurer que les fichiers en dehors du répertoire de travail d'apache ne soient pas servis

Pour cela on bloque la racine du serveur, et on accepte de servir uniquement les fichiers se trouvant le répertoire de travail d'Apache. 

<Directory />
  Order Deny,Allow
  Deny from all
  Options None
  AllowOverride None
</Directory>
<Directory /web>
  Order Allow,Deny
  Allow from all
</Directory>
Note.png
Cas des fichiers qui devraient être normalement servis et se trouvant en dehors du répertoire de travail d'Apache
Il faut explicitement déclarer chaque répertoire parent dans la configuration d'Apache et y définir les droits, comme pour le répertoire de travail.

Exemple: Apache hébergant un wiki.

Les fichiers se trouvent dans <path>/var/www/wiki</path> et dans <path>/usr/share/mediawiki/skins</path>.

La déclaration sera donc 

Alias /wiki/skins /usr/share/mediawiki/skins
Alias /wiki /var/www/wiki

<Directory "/var/www/wiki">
    Options Includes FollowSymLinks
    AllowOverride None
    Order Allow,Deny
    Allow from all
</Directory>

<Directory "/usr/share/mediawiki/skins">
    Options Includes
    AllowOverride None
    Order Allow,Deny
    Allow from all
</Directory>

Désactiver l'indexation des répertoires

Il faut spécifier dans les options que l'indexation n'est pas autorisée en mettant -Indexes ou None aux Options dans la balise Directory. 

Options -Indexes

Désactiver l'inclusion de fichiers

Il faut spécifier dans les options que l'inclusion n'est pas autorisée en mettant -Includes ou None aux Options dans la balise Directory. 

Options -Includes

Désactiver l'exécution des scripts CGI

Il faut spécifier dans les options que l'exécution des scripts CGI n'est pas autorisée en mettant -ExecCGI ou None aux Options dans la balise Directory. 

Options -ExecCGI
Note.png
Nagios
Le service de supervision Nagios a besoin de pouvoir exécuter des scripts CGI. Il faudra donc ajouter la directive +ExecCGI dans la balise du répertoire de nagios.

Désactiver le suivi des liens symboliques

Il faut spécifier dans les options que le suivi des liens symboliques n'est pas autorisée en mettant -FollowSymLinks ou None aux Options dans la balise Directory. 

Options -FollowSymLinks

Désactiver plusieurs options

Il faut spécifier dans les options que rien n'est autorisé en mettant None aux Options dans la balise Directory. 

Options None

On peut aussi spécifier les options interdites 

Options -ExecCGI -FollowSymLinks -Indexes

Désactiver le support des fichiers .htaccess

Il faut spécifier dans la directive AllowOverride que rien n'est autorisé. 

AllowOverride None

Pour les répertoires nécessitant un fichier .htaccess, il convient de modifier le nom et de spécifier le nouveau nom à Apache. De plus ces fichiers doivent être interprétés mais ne doivent pas être téléchargés. 

AccessFileName .httpdoverride
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

Désactiver le debug des connexions HTTP : TRACE et TRACK

Il faut spécifier la directive suivante. Elle est supportée sur tous les Apaches 2.2 et supérieur. 

TraceEnable Off


Idea.png
Apache < 2.0.55 ou 1.3.34
Il faut activer le module rewrite et ajouter les lignes suivantes au fichier <path>/etc/httpd/conf/httpd.conf</path> 
RewriteEngine On 
RewriteCond %{REQUEST_METHOD} ^TRACE 
RewriteRule .* - [F]

Activer le module mod_security

mod_security est un module Apache écrit par Ivan Ristic, l'auteur du livre Apache Security des éditions O'Reilly.

mod_security peut:

  • Filtrage simple
  • Filtre basé sur des expressions régulières
  • Validation de l'encodage d'URL
  • Validation de l'encodage Unicode
  • Audit
  • Prévention des attaques Null byte
  • Respect d'un quota pour la mémoire
  • Masquage de l'identité du serveur Web
  • Support du chroot
  • Et bien d'autres choses encore...

Désactivation des modules non-utilisés

Apache est fournit avec un nombre conséquent de modules. Après analyse de la documentation de chaque module, il faut déterminer si le module est nécessaire pour l'installation.

On peut désactiver le chargement des modules non-utilisés en commentant la ligne commençant par LoadModule pour le module en question (Ajout d'un # en début de ligne).

Pour lister les modules d'Apache 

grep LoadModule httpd.conf

Les modules suivants sont généralement activés par défaut mais ne sont utiles que dans des cas bien précis:

  • mod_imap
  • mod_include
  • mod_info
  • mod_userdir
  • mod_status
  • mod_cgi
  • mod_autoindex
Main module summary
Module's name Description
core The core Apache features, required in every Apache installation.
http_core The core http support, required in every Apache 2.0 installation.
prefork Multi-Processing Module (MPM) that implements a non-threaded, pre-forking web server. Can be replaced by other multiprocessing module, e.g. worker , threadpool etc. The MPM module is required in every Apache 2.0 installation.
mod_access Provides access control based on client hostname, IP address, or other characteristics of the client request. Because this module is needed to use "order", "allow" and "deny" directives, it should remain enabled.
mod_auth Required in order to implement user authentication using text files (HTTP Basic Authentication), which was specified in functionality assumptions.
mod_dir Required to search and serve directory index files: "index.html", "default.htm", etc.
mod_log_config Required to implement logging of the requests made to the server.
mod_mime Required to set the character set, content- encoding, handler, content-language, and MIME types of documents.

S'assurer que seul root puisse accéder à la configuration d'Apache

chown -R root:root /etc/httpd
chmod -R o-rwx /etc/httpd

Baisser la valeur du timeout

Par défaut, le timeout est fixé à 300 secondes. On peut baisser cette valeur afin de limiter les effets des attaques par déni de service. 

Timeout 45

Limiter la taille des requêtes

Apache possède quelques directives pour limiter la taille des requêtes, Cela peut aussi être utile pour limiter les attaques par déni de service.

On limite tout d'abord la taille des requêtes avec la directive LimitRequestBody. La valeur par défaut est Illimité. Si la taille maximum des fichiers uploadés est plus petit que 1MB, on peut fixer la valeur à 1048576. 

LimitRequestBody 1048576

Cette valeur peut encore être plus faible si l'upload n'est pas autorisé.

Quelques autres directives comme LimitRequestFields, LimitRequestFieldSize et LimitRequestLine sont déjà mise à des valeurs raisonnables pour la plupart des serveurs mais rien n'empêche de faire un ajustage plus fin.

Limiter la taille des requêtes XML

Si le module mod_dav est activé ( pour subversion notamment ), on peut limiter la taille des requêtes XML avec la directive LimitXMLRequestBody. Cette directive est uniquement disponible depuis apache 2 et est fixée par défaut à approximativement 1 million bytes (un peu plus qu'1Mo). Cette valeur est souvent mise à 0 pour ne pas limiter la taille des fichiers uploadés avec WebDAV, mais pour un simple dépôt de fichier source, on peut le fixer à approximativement 10Mo. 

LimitXMLRequestBody 10485760

Limiter les accès concurrents

Apache has several configuration settings that can be used to adjust handling of concurrent requests.

La directive MaxClients est le nombre maximum de processus enfant créés pour satisfaire les requêtes. Il ne doit pas être trop élevé si le serveur n'a pas assez de mémoire pour gérer l'accès à de nombreux fichiers simultanément.

Les autres directives telles que MaxSpareServers, MaxRequestsPerChild, ThreadsPerChild, ServerLimit, et MaxSpareThreads doivent être ajustées en fonction du système d'exploitation et des paramètres du serveur physique ( RAM, CPU, etc...).

Restriction d'accès par adresse IP

Si certaines ressources ne doivent être servies que pour certaines adresses ou plages d'adresses IP, il convient de restreindre l'accès de celle-ci dans la configuration d'Apache. Restriction à la plage d'adresse 192.168.0.0/24. 

Order Deny,Allow
Deny from all
Allow from 192.168.0.0/24

Restriction sur une adresse IP. 

Order Deny,Allow
Deny from all
Allow from 127.0.0.1

Ajustage des connexions persistantes

D'après la documentation d'Apache, les connexions persistantes augmentent les performances de 50%, donc ces paramètres doivent être modifiés avec précaution.

Les connexions persistantes sont activés par défaut et doivent le rester. Toutefois un ajustage du nombre de connections persistantes, ainsi que du timeout peut être entrepris après une analyse très poussée des journaux d'Apache afin de déterminer les meilleures valeurs. par défaut le nombre de connections persistantes est fixé à 100 et le timeout à 15.

Méthode d'authentification

Il préférable d'utiliser la méthode Digest en lieu et place de la méthode Basic, surtout si le protocole est http. En effet le login et le mot de passe passe en clair sur le réseau avec la méthode Basic.

Méthodes d'authentification avec Apache

Exécuter Apache dans un environnement Chroot

Un Chroot permet d'exécuter un programme dans une prison isolée. Cela permet de limiter l'intrusion à ce seul service.

Ce n'est pas vraiment facile d'exécuter Apache dans un chroot, notamment à cause des dépendances des librairies. Toutefois le module mod_security le permet très facilement en ajoutant la directive suivante à la configuration d'Apache. 

SecChrootDir /chroot/apache

PHP

Cacher le numéro de version

PHP expose son numéro de version ( par défaut ? ). En effet il suffit de lancer la commande suivante pour s'en rendre compte. Bien entendu le fichier index.php doit exister, sinon Apache rapporte une erreur 404. 

nc localhost 80 << EOF
HEAD http://localhost/index.php http/1.1
host: localhost

EOF

Apache répond en spécifiant le numéro de version de php 

HTTP/1.1 200 OK
Date: Thu, 06 Sep 2012 10:03:22 GMT
Server: Apache
X-Powered-By: PHP/5.4.6
Connection: close
Content-Type: text/html; charset=UTF-8


Ajout de la ligne suivante au fichier <path>/etc/php.ini</path> 

expose_php = Off

Après la modification et un restart d'Apache plus tard 

nc localhost 80 << EOF
HEAD http://localhost/index.php http/1.1
host: localhost

EOF

Cette fois le numéro de version de php est caché 

HTTP/1.1 200 OK
Date: Thu, 06 Sep 2012 10:03:22 GMT
Server: Apache
Connection: close
Content-Type: text/html; charset=UTF-8
Récupérée de « https://wikiold.home.tartarefr.eu/index.php?title=Security/Services/Apache&oldid=2703 »