====== LAMP ======
===== Pré-requis =====
Installer les paquets **apache** :
<code bash>
apt-get install apache2 apache2-bin apache2-data apache2-utils libapache2-mod-php
</code>
Installer les paquets **php**: 
<code bash>
apt-get install php php-common php-curl php-intl php-mbstring php-mysql php-gd php-imagick php-xml php-simplexml php-cli php-zip php-apcu unzip
</code>
Installer les paquets **MariaDB** :
<code bash>
apt install mariadb-client mariadb-server
</code>
===== Modules Apache2 =====
Afficher les modules chargés :
<code bash>
apachectl -t -D DUMP_MODULES
</code>
Activer les modules indispensables :
<code bash>
a2enmod ssl
a2enmod headers
a2enmod rewrite
</code>
===== APCU (gestion du cache) =====
Editer le fichier de configuration **apcu.ini** :
<code bash>
vi /etc/php/8.x/mods-available/apcu.ini
</code>
En fin de fichier, ajouter la ligne suivante :
<code bash>
apc.enable_cli=1
</code>
===== PHP =====
Editer le fichier de configuration **PHP** :
<code bash>
vi /etc/php/8.x/apache2/php.ini
</code>
Modifier les valeurs suivantes :
<code bash>
post_max_size = 500M
upload_max_filesize = 500M
max_file_uploads = 20
</code>
===== Virtualhost =====
Exemple :
<code bash>
<VirtualHost mon.site.fr:443>

ServerAdmin mail_admin@domain.fr
ServerName mon.site.fr

DocumentRoot /var/www/site
SSLEngine on
SSLCertificateFile /etc/ssl/site.pem
SSLCertificateKeyFile /etc/ssl/site.key

ErrorLog ${APACHE_LOG_DIR}/error.site.log
CustomLog ${APACHE_LOG_DIR}/access.site.log combined

<Directory /var/www/site/>
Options -Indexes +FollowSymLinks
AllowOverride None
</Directory>

</VirtualHost>
</code>

Activer un site :
<code bash>
a2ensite site.conf
</code>
Désactiver :
<code bash>
a2dissite site.conf
</code>

===== Désactiver ipv6 =====
Editer le fichier **ports.conf** :
<code bash>
vi /etc/apache2/ports.conf
</code>
Modifier comme dans l'exemple suivant :
<code bash>
# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default.conf

Listen 0.0.0.0:80

<IfModule ssl_module>
Listen 0.0.0.0:443
</IfModule>

<IfModule mod_gnutls.c>
Listen 0.0.0.0:443
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
</code>
===== Certificats =====
Installer les paquets suivants :
<code bash>
apt install certbot python3-certbot-apache -y
</code>
Commande pour générer des certificats **Let's Encrypt** :
<code bash>
certbot --apache
</code>
===== Sécurité =====
==== Masquer version Apache2 ====
Pour empêcher Apache d'envoyer trop infos au navigateur, éditer :
<code bash>
vi /etc/apache2/conf-available/security.conf
</code>
Rentrer les valeurs suivantes :
<code bash>
ServerTokens Prod
...
ServerSignature Off
</code>
==== Permissions des fichiers ====
  * Modifier/Vérifier les droits du répertoire **/var/www/** :
<code bash>
chown -R www-data:www-data /var/www/
chmod -R 755 /var/www/
</code>
  * Interdire l’accès aux fichiers sensibles dans le fichier **virtualhost** - ajouter après **</Directory>** :
<code bash>
<FilesMatch "\.(htaccess|htpasswd|ini|log|conf)$">
Require all denied
</FilesMatch>
</code>
==== ModSecurity (WAF pour Apache) ====
  * Installer le **mod security** :
<code bash>
apt install libapache2-mod-security2
a2enmod security2
systemctl restart apache2
</code>
  * Copier le fichier modèle de configuration :
<code bash>
cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
</code>
  * Activer le module dans le fichier :
<code bash>
vi /etc/modsecurity/modsecurity.conf

puis

SecRuleEngine On
</code>
  * Voir les **logs** :
<code bash>
tail -f /var/log/apache2/modsec_audit.log
</code>

==== mod_evasive (protection contre DoS) ====
<code bash>
apt install libapache2-mod-evasive
a2enmod evasive
systemctl restart apache2
</code>