« Haproxy : Sécuriser son serveur web avec haproxy » : différence entre les versions

De www.yakakliker.org
VisuelWikicode
(Page créée avec « === Sécuriser un serveur web en mode http === ==== Exemple de fichier conf haproxy ==== <syntaxhighlight lang="bash"> global log /dev/log local0 log /dev/log local1 notice chroot /var/lib/haproxy stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners stats timeout 30s user haproxy group haproxy daemon # Default SSL material locations ca-base /etc/ssl/certs crt-base /etc/ssl/private # See: https://ssl-config.mozilla.org/#serv... »)
 
Aucun résumé des modifications
 
(2 versions intermédiaires par le même utilisateur non affichées)
Ligne 143 : Ligne 143 :
     mode tcp
     mode tcp
     server smokeping 127.0.0.1:4430 check
     server exemple 127.0.0.1:4430 check


backend exemple-http
backend exemple-http
     mode tcp
     mode tcp
     server smokeping 127.0.0.1:8000 check
     server exemple 127.0.0.1:8000 check


</syntaxhighlight>
</syntaxhighlight>
Ligne 154 : Ligne 154 :
=== Liens ===
=== Liens ===
https://www.haproxy.org/
https://www.haproxy.org/
[[Catégorie:Haproxy]]
‎<html>
<a href="https://www.compteurdevisite.com" title="compteur web gratuit sans pub"><img src="https://counter6.optistats.ovh/private/compteurdevisite.php?c=b4epghealnwlf7wuq7gn3ygll9aywrfx" border="0" title="compteur web gratuit sans pub" alt="compteur web gratuit sans pub"></a>
‎</html>
‎ <html>
<script src='https://storage.ko-fi.com/cdn/scripts/overlay-widget.js'></script>
<script>
  kofiWidgetOverlay.draw('yakakliker', {
    'type': 'floating-chat',
    'floating-chat.donateButton.text': 'Café',
    'floating-chat.donateButton.background-color': '#00b9fe',
    'floating-chat.donateButton.text-color': '#fff'
  });
</script>
‎</html>

Dernière version du 13 mai 2025 à 09:37

Sécuriser un serveur web en mode http

Exemple de fichier conf haproxy

global
	log /dev/log	local0
	log /dev/log	local1 notice
	chroot /var/lib/haproxy
	stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
	stats timeout 30s
	user haproxy
	group haproxy
	daemon

	# Default SSL material locations
	ca-base /etc/ssl/certs
	crt-base /etc/ssl/private

	# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
        ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
        ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
        ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

defaults
	log	global
	mode	http
	option	httplog
	option	dontlognull
        timeout connect 5000
        timeout client  50000
        timeout server  50000
	errorfile 400 /etc/haproxy/errors/400.http
	errorfile 403 /etc/haproxy/errors/403.http
	errorfile 408 /etc/haproxy/errors/408.http
	errorfile 500 /etc/haproxy/errors/500.http
	errorfile 502 /etc/haproxy/errors/502.http
	errorfile 503 /etc/haproxy/errors/503.http
	errorfile 504 /etc/haproxy/errors/504.http
	
cache mycache
   total-max-size 64
   max-object-size 10000
   max-age 240

frontend https
	bind *:80
    bind *:443 ssl crt /etc/haproxy/cert/yakakliker.org.pem

    mode http
    option httplog

    http-request redirect scheme https code 301 unless { ssl_fc }

    acl yakakliker_acl  hdr(host)   exemple.yakakliker.org
    use_backend yakakliker if yakakliker_acl

  
backend yakakliker
    mode http

    filter cache mycache
    http-request cache-use mycache
    http-response cache-store mycache

    option forwardfor
    http-request add-header X-Forwarded-Proto https if { ssl_fc }

    server yakakliker  127.0.0.1:8000 check

    stick-table type ip size 1m expire 600m

Sécuriser un serveur web en mode tcp

Exemple de fichier conf haproxy

global
	log /dev/log	local0
	log /dev/log	local1 notice
	chroot /var/lib/haproxy
	stats socket /run/haproxy/admin.sock mode 660 level admin
	stats timeout 30s
	user haproxy
	group haproxy
	daemon

	# Default SSL material locations
	ca-base /etc/ssl/certs
	crt-base /etc/ssl/private

	# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
        ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
        ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
        ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

defaults
	log	global
	mode	http
	option	httplog
	option	dontlognull
        timeout connect 5000
        timeout client  50000
        timeout server  50000
	errorfile 400 /etc/haproxy/errors/400.http
	errorfile 403 /etc/haproxy/errors/403.http
	errorfile 408 /etc/haproxy/errors/408.http
	errorfile 500 /etc/haproxy/errors/500.http
	errorfile 502 /etc/haproxy/errors/502.http
	errorfile 503 /etc/haproxy/errors/503.http
	errorfile 504 /etc/haproxy/errors/504.http

frontend https
	mode tcp
		option tcplog
		
	bind *:443

	tcp-request inspect-delay 5s
	tcp-request content accept if { req_ssl_hello_type 1 }

	use_backend exemple if { req_ssl_sni -i exemple.yakakliker.org }
	

	default_backend exemple


frontend http
	mode tcp
		option tcplog
		
	bind *:80

	tcp-request inspect-delay 5s

	use_backend exemple-http if { req.hdr(host) -i exemple.yakakliker.org }

	default_backend exemple-http



backend exemple
    mode tcp
	
    server exemple 127.0.0.1:4430 check

backend exemple-http
    mode tcp
	
    server exemple 127.0.0.1:8000 check

Liens

https://www.haproxy.org/


compteur web gratuit sans pub

Récupérée de « http://www.yakakliker.org/index.php?title=Haproxy_:_Sécuriser_son_serveur_web_avec_haproxy&oldid=1572 »