179 lines
6.2 KiB
Bash
179 lines
6.2 KiB
Bash
#!/bin/bash
|
|
|
|
# Importer les fonctions communes
|
|
source "$(dirname "$0")/../common/common_utils.sh"
|
|
|
|
# Vérifier si le script est exécuté en root
|
|
check_root
|
|
|
|
# Mise à jour du système
|
|
update_system
|
|
|
|
# Installation d'Apache et des outils nécessaires
|
|
echo "=== Installation d'Apache et des outils nécessaires ==="
|
|
apt install -y apache2 curl dnsutils certbot python3-certbot-apache
|
|
|
|
# Activer et démarrer Apache uniquement si ce n'est pas déjà fait
|
|
echo "=== Activation et démarrage d'Apache ==="
|
|
systemctl is-enabled apache2 || systemctl enable apache2
|
|
systemctl is-active --quiet apache2 || systemctl start apache2
|
|
|
|
# Activer les modules nécessaires uniquement s'ils ne le sont pas déjà
|
|
MODULES=(rewrite ssl headers http2 socache_shmcb proxy proxy_http setenvif)
|
|
for MODULE in "${MODULES[@]}"; do
|
|
if ! a2query -m "$MODULE" >/dev/null 2>&1; then
|
|
a2enmod "$MODULE"
|
|
fi
|
|
done
|
|
systemctl reload apache2
|
|
|
|
# Récupérer le FQDN
|
|
FQDN=$(get_fqdn_and_domain | awk '{print $1}')
|
|
echo "🔍 Serveur détecté : $FQDN"
|
|
|
|
# Vérification DNS
|
|
check_dns "$FQDN"
|
|
|
|
# Configurer le VirtualHost uniquement si ce n'est pas déjà fait
|
|
echo "=== Configuration du Virtual Host pour $FQDN ==="
|
|
if ! grep -q "ServerName $FQDN" /etc/apache2/sites-available/*.conf; then
|
|
./add_domain.sh "$FQDN"
|
|
EXIT_CODE=$?
|
|
if [[ $EXIT_CODE -ne 0 ]]; then
|
|
echo "❌ Échec de la configuration du serveur ($FQDN). Code erreur : $EXIT_CODE"
|
|
exit $EXIT_CODE
|
|
fi
|
|
fi
|
|
|
|
# Configuration SSL uniquement si nécessaire
|
|
setup_ssl "$FQDN"
|
|
|
|
# Sécurisation des accès
|
|
echo "=== Sécurisation des accès ==="
|
|
SECURITY_CONF="/etc/apache2/conf-available/security.conf"
|
|
# Vérifier si le fichier existe et contient déjà la configuration
|
|
if [ ! -f "$SECURITY_CONF" ]; then
|
|
echo "Création de $SECURITY_CONF avec les paramètres de sécurité."
|
|
cat <<EOF > "$SECURITY_CONF"
|
|
<Directory />
|
|
AllowOverride None
|
|
Require all denied
|
|
</Directory>
|
|
|
|
<FilesMatch "\.(htaccess|htpasswd|env|ini|log|sh|bak)$">
|
|
Require all denied
|
|
</FilesMatch>
|
|
EOF
|
|
a2enconf security
|
|
systemctl reload apache2
|
|
echo "Configuration de sécurité appliquée et rechargement d'Apache."
|
|
else
|
|
echo "Le fichier $SECURITY_CONF existe déjà. Aucune modification nécessaire."
|
|
fi
|
|
|
|
# Vérifier si le fichier de configuration existe
|
|
if [ -f "$SECURITY_CONF" ]; then
|
|
# Vérifier si les directives sont déjà présentes pour éviter les doublons
|
|
if ! grep -q "Header always unset X-Powered-By" "$SECURITY_CONF"; then
|
|
echo "Ajout des directives de sécurité HTTP à $SECURITY_CONF."
|
|
cat <<EOF >> "$SECURITY_CONF"
|
|
|
|
# Renforcement des en-têtes HTTP
|
|
ServerTokens Prod
|
|
ServerSignature Off
|
|
TraceEnable Off
|
|
Header always unset X-Powered-By
|
|
EOF
|
|
echo "Configuration mise à jour et rechargement d'Apache."
|
|
else
|
|
echo "Les directives de sécurité HTTP sont déjà présentes. Aucune modification nécessaire."
|
|
fi
|
|
else
|
|
echo "Erreur : le fichier $SECURITY_CONF n'existe pas. Assurez-vous que la configuration de sécurité est en place."
|
|
fi
|
|
|
|
# Activer HTTP Strict Transport Security (HSTS) uniquement si nécessaire
|
|
SSL_CONF="/etc/apache2/sites-available/default-ssl.conf"
|
|
if ! grep -q "Strict-Transport-Security" "$SSL_CONF"; then
|
|
echo "Header always set Strict-Transport-Security \"max-age=31536000; includeSubDomains; preload\"" >> "$SSL_CONF"
|
|
fi
|
|
|
|
|
|
# Activation de l'OCSP Stapling uniquement si nécessaire
|
|
echo "=== Activation de l'OCSP Stapling ==="
|
|
# Vérifier si le fichier de configuration SSL existe
|
|
if [ -f "$SSL_CONF" ]; then
|
|
# Vérifier si l'option est déjà activée pour éviter les doublons
|
|
if ! grep -q "^SSLUseStapling on" "$SSL_CONF"; then
|
|
echo "Ajout des directives OCSP Stapling à $SSL_CONF."
|
|
cat <<EOF >> "$SSL_CONF"
|
|
|
|
# Configuration OCSP Stapling
|
|
SSLUseStapling on
|
|
SSLStaplingResponderTimeout 5
|
|
SSLStaplingReturnResponderErrors off
|
|
SSLStaplingCache shmcb:/var/run/ocsp(128000)
|
|
EOF
|
|
systemctl reload apache2
|
|
echo "Configuration OCSP Stapling mise à jour et rechargement d'Apache."
|
|
else
|
|
echo "OCSP Stapling est déjà activé. Aucune modification nécessaire."
|
|
fi
|
|
else
|
|
echo "Erreur : le fichier $SSL_CONF n'existe pas. Assurez-vous que le module SSL est bien installé."
|
|
fi
|
|
|
|
# Désactivation des chiffres faibles et renforcement TLS
|
|
echo "=== Renforcement de la configuration SSL/TLS ==="
|
|
|
|
SSL_MOD_CONF="/etc/apache2/mods-available/ssl.conf"
|
|
|
|
# Vérifier si le fichier de configuration SSL existe
|
|
if [ -f "$SSL_MOD_CONF" ]; then
|
|
# Vérifier si la configuration est déjà appliquée pour éviter les doublons
|
|
if ! grep -q "^SSLProtocol -all +TLSv1.2 +TLSv1.3" "$SSL_MOD_CONF"; then
|
|
echo "Ajout des directives SSL/TLS sécurisées à $SSL_MOD_CONF."
|
|
cat <<EOF >> "$SSL_MOD_CONF"
|
|
|
|
# Renforcement de la configuration SSL/TLS
|
|
SSLProtocol -all +TLSv1.2 +TLSv1.3
|
|
SSLCipherSuite TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
|
|
SSLHonorCipherOrder on
|
|
SSLCompression off
|
|
SSLSessionTickets off
|
|
EOF
|
|
systemctl reload apache2
|
|
echo "Configuration SSL/TLS mise à jour et rechargement d'Apache."
|
|
else
|
|
echo "La configuration SSL/TLS est déjà sécurisée. Aucune modification nécessaire."
|
|
fi
|
|
else
|
|
echo "Erreur : le fichier $SSL_MOD_CONF n'existe pas. Assurez-vous que le module SSL est bien installé."
|
|
fi
|
|
|
|
|
|
# Limitation de la taille des requêtes (éviter les doublons)
|
|
echo "=== Limitation de la taille des requêtes ==="
|
|
if ! grep -q "LimitRequestBody" "$SECURITY_CONF"; then
|
|
echo "LimitRequestBody 10485760" >> "$SECURITY_CONF"
|
|
fi
|
|
|
|
# Vérifier la configuration avant rechargement
|
|
echo "=== Vérification de la configuration Apache ==="
|
|
apachectl configtest
|
|
if [[ $? -ne 0 ]]; then
|
|
echo "❌ Erreur dans la configuration Apache !"
|
|
exit 1
|
|
fi
|
|
|
|
# Appliquer des permissions sécurisées (éviter les erreurs si déjà appliquées)
|
|
echo "=== Sécurisation des permissions des fichiers de configuration ==="
|
|
chmod 640 /etc/apache2/sites-available/* 2>/dev/null
|
|
chmod 640 /etc/apache2/conf-available/* 2>/dev/null
|
|
chown root:root /etc/apache2/sites-available/* 2>/dev/null
|
|
chown root:root /etc/apache2/conf-available/* 2>/dev/null
|
|
|
|
# Rechargement final d'Apache
|
|
systemctl reload apache2
|
|
|
|
echo "✅ Installation et sécurisation d'Apache terminées !" |