tutojres
Contents
1. E a PA dm pm EE ETT Cu kH I a HE r UE hi A ny n a a RE L i w 4 Ps iis Made simple Documentation UsenhandoookiInstllanon ShelNns ll GMSM Mozilla ireto ile org index php User_Handbook Installation Fichier dition Affichage Historique Marque pages utils http wiki cmsmadesi E CMS Made Simple Documentation commande chmod sur les dossiers suivants sur votre serveur Remarque la valeur est comporte quelques risques de vuln rabilite et pourrait permettre 4 des hackers d uploader des fichiers sur le serveur Si la s curit de votre site est particullerement importante pr ferrez la valeur 775 la valeur 777 117 tmp templates cr tmp cache 17 uploads 117 uploads images TTT modules Etape 4 Pour permettre au script de fonctionner correctement vous devez changer les permissions TutoJres Paris 4 f vrier 2010 S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA LEE 1 Gaba Feuill e U lisate Appa group duquer les webmasters ne pas faire chmod 777 SHC Fichier ou rep Mgereemaeacice Fichier ou rep Smooneticw fichier chmod g rwx rep setacl m u apache rwx d u apache rwx rep setacl m g apache rwx d g apache rwx rep S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 53 Q3 Sources d inspiration R2. S approprier une config Apache Jacquelin Charbonnel CNRS LAREMA TutoJRES S curit des sites web Universite Paris Descartes Paris 4 f vrier 2010 62 Introduction Constat un Apache fraichement install dispose d un niveau de s curit satisfaisant au fil du temps e nombre de sites croit les webmasters sont plus nombreux la configuration s toffe Apache volue gt mises jour successives eles sysadmins mutent Question comment un sysadmin fraichement affect peut il s approprier un serveur Apache en activit S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 62 Introduction Cet expos se place du point de vue d un h bergement de sites web se focalise sur quelques aspects de la configuration de base d Apache et de son environnement syst me s int resse essentiellement 2 questions comment garder le contr le de l espace web comment contr ler le p rim tre d action des webmasters S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 62 Vocabulaire espace web URL space fichiers et r pertoires du filesystem accessibles par HTTP webmaster un compte declare sur le serveur ayant des droits d criture sur une partie de l espace web en plus des pages perso S approprier une configuration Apache Jacquelin
3. Filelnfo Indexes Limit Options Option Det Oory gt AllowOverride None lt Directory gt lt Directory var www html permissif gt AllowOverride All PIDicectory gt S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 29 AllowOverride Directive a Types of directives that are allowed in htaccess files AllowOverride All None adirective type directive type AllowOverride All directory status Core Module COTE AccessFileName Directive Description Name of the distributed configuration file syntax BecessFileName filename filenamel Default AccessFileName htaccess Context server contig virtual host status Core Module Core S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 30 les webmasters peuvent activer le suivi des symlinks si PablowOverride All AllowOverride Options et depuis apache 2 2 AllowOverride Options FollowSymlinks AllowOverride Options FollowSymlinksIfOwnerMatch S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 31 S approprier une configuration Apache Restriction cibl e de l espace web Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 32 lt Location secure gt AuthType basic AuthName private area AuUchBasicProvider dbm AuthDBMType SDB
4. Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 G n ralit s sur la configuration d Apache S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 62 Fichiers de configuration un fichier de config principal nttpa conf apache2 conf sous controle de root hors de l espace web des fichiers de config inclus sous contr le de root hors de l espace web des fichiers htaccess sous controle des webmasters dans l espace web S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 Fichiers de configuration root peut activer limiter d sactiver l usage des htaccess une modification du fichier de config principal n cessite un red marrage d Apache toute modification d un htaccess est prise en compte instantan ment l activation des ntaccess implique un travail suppl mentaire pour Apache S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 Sections htaccess directive arguments lt section gt hirecrive omte Live lt 3Co e kone lt section gt lt section gt rectrive recrive lt secret eer on gt Se CUS iq ets emeetimeam LS a ounments ROME sections directory files location virtualhost limit Hhmees htaccess lt directory htdocs gt nn erguments quivalent eecrive arguments eee argum
5. M AuthDBMUserFile wWww etc dbmpasswd Require valid user Require user userl user2 it Require group groupl group2 Moecak1Oon gt S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 filtrage par authentification 33 62 filtrage sur la source allow deny Allow from apache org Allow from net se rom 110 1 2 3 Deny from 10 1 eea O 0 0 255 255 0 0 ee o 10 1 0 0 16 Deny from 2001 db8 a00 20ff fea7 ccea 10 allow et deny n ont de sens que si l on connait la valeur de order S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 34 filtrage sur la source Order deny allow tout est autoris par d faut sauf ce qui est interdit moins que ce soit autoris Order Deny Allow Deny from concurrent com Allow from infiltre concurrent com Order allow deny tout est interdit par d faut sauf ce qui est autoris moins que ce soit interdit Order Allow Deny Allow from partenaire fr Deny from traitre partenaire fr S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 39 Gag 3 Eory htdocs gt Order Allow Deny Per Com all lt Directory gt lt Directory htdocs site 1 gt Require valid user F Pie ctory gt roc site htaccess Satisfy Any inhibe l authentification S approprier une configuration Apache Jacquelin Cha
6. MA TutoJres Paris 4 f vrier 2010 46 Mais malgr cela e tous les scripts de tous les vh s ex cutent sous la meme identite e une d faillance de l un d entre eux met en danger tous les autres ee rip cache dump php lt php CCC GET auto nomme eaa stripslashes _ POST grammy lt form action method POST gt lt input type text name grammy gt lt input type submit gt lt j Ovens gt S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 47 62 A propos des CMS remarque les op rations d administration r alis e via un navigateur se font sous l identit d apache donc par exemple l installation d un CMS via un navigateur implique qu apache aura acces en criture a tous les fichiers sources S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 48 Accompagner les webmasters fav C http Avww spip net fr_artide3370 html 1 Comme avant tout importante sur votre site faites une sauvegarde de la base par precaution 2 Fe icez tous les fichiers et sers ni l ancienne installation dans un sous r pertoire 3 Installez es fichiers de SPA S r pertoire tmp g n rale nent Le an a appli arborescence de dossiers guant t ceux A nomm s gpl j BETEA ee e L e aiL e QUES er il ein ss ane gs i mm eee S approprier une configuration Apa
7. che Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 49 Joomla Installation The Joomla Installer After you click OK tb ile the installation scregr S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 90 Documentation Download Support Fc Home Getting Started Installation guide Ppp TE te Nace I ae aon Create a files directory for uploads Before you start Installation guide System After installing Drupal it is helptul to have a writable directory so that you can requirements upload your own content files If you skip this step you may get an error 5 Download Drupal message stating that sites default files does not exist o Grant white Last modified March 7 2009 22 40 Drupal 6 x Mo known problems permissions on lara n the configuration AE e LN file ee 1 Making a directory called fles in the sites default folder database 2 Assign write permissions to it with the following command from the o Run the install installation directory script Set up cron o Create a files directory for uploads t Advanced installation Drupal 6 Drupal 5 aTa SU to create the files directory and set its 4 Share your rules permissions Be sure to give x rond write and execute permissions to everyone Import Export 777 Contnbuted modules 4
8. ction lt VirtualHost gt directory dans lt Directory gt lt Location gt ou lt Files gt htaccess dans un fichier htaccess S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 ServerSignature Directive Description Configures the footer on server generated documents syntax ServerSignature On Off EMail Default ServerSignature Off Context server config virtual host directory htaccess Override All Status Core EO Module 5 E f Disable gt Cookies ET Forms Images Information Outline Resize gt Options X Not Found The requested URL nottound was not found on this server Apache 2 0 52 CentOS mod perl 1 909 16 Perl v5 8 5 DAV PHP 5 1 6 mod mvthon 3 1 3 Python 2 3 4 mod_ssl 2 0 32 OpenSSL 0 9 7a Server at www math umiv angers fr Port 80 Gag 2 MP hrropd conf serverSignature Off Pr Mmecoes sitel htaccess serverSignature On S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 14 D terminer l espace web sous contr le S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 62 L espace web URL space Ensemble des r pertoires fichiers qu Apache peut servir les fichiers r pertoires inaccessibles par l utilisateur apache sont hors es
9. efonte du web au LAL IN2P3 2003 2004 120 vh Mise en place de la plate forme d h bergement de sites web de Mathrice 2007 50 vh R f rences Apache appropriation de sa configuration J Charbonnel Journ es CNRS UREC 2008 http math univ angers fr charbonnel http httod apache org docs 2 2 misc security_tips html http www hsc fr ressources 9 http www w3 org Security S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010
10. ents directive arguments lt directory gt S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 62 htaccess htaccess recherch s depuis exemple pour var www index html e htaccess e var htaccess e var www htaccess mieux vaut d sactiver cette fonctionnalit sur Deco ry gt AllowOverride None lt Directory gt S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 62 Ordre d application des directives appliqu es dans l ordre suivant 1 lt Directory gt et htaccess pour un niveau donne htaccess pr vaut sur lt directory gt 2 lt DirectoryMatch gt 3 lt Files gt et lt FilesMatch gt 4 lt Location gt et lt LocationMatch gt attention lt directory gt et lt files gt ne s appliquent pas aux cibles des symlinks S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 Gag 1 error htdocs gt order allow deny allow from mon domaine Director y gt ee irl on gt order deny allow allow from all 2 dheeaction gt S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 11 Contexte des directives chaque directive est associ e une liste de contexte d utilisation server config hors section virtual host dans une se
11. ibeeectLory gt PISE N ht gt Order allow deny Deny from all lt Files gt S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA Contig par defaut centoss 4 TutoJres Paris 4 fevrier 2010 39 Etancheifier les territoires des webmasters S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 40 Objectif limiter le p rim tre d action des webmasters Au minimum apache doit pouvoir lire tous les espaces web de tous les vh les webmasters d un site doivent pouvoir crire dans leur espace avoir le minimum de droit sur les espaces des autres sites Comment organiser les choses S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 41 62 Solution 1 groupe wm_site par site comprenant tous les webmasters du site propri taire des fichiers cr ateur wm site droits rwxrwxr x gt tout le monde a acces en lecture acces aux htaccess sources des scripts S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 42 62 Solution 2 Cr er un groupe wm site par site comprenant tous les webmasters du site apache proprietaire des fichiers createur wmsite droits rwxrwx gt apache acces en criture a tous les fichiers S approprier une configuration Apache Jacquelin Cha
12. ons var www icons Error var www error enema ocriptAlias conf Teno a Col bin var www cgi bin S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 25 62 Liens symboliques les liens symboliques situ s dans l espace web ouvrent des breches les sections Directory et File ne s appliquent pas a la cible d un lien hors controle du sysadmin comment les limiter 7 S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 26 Directory options lt Directory var www html gt Seoemoms 2ollowsymlinks S Prtectory gt lt Directory var www html gt Options FollowSymlinksIfOwnerMatch i Perectory gt les symlinks sont ils pour autant d sactiv s pas forcement s il existe un fichier htaccess contenant Options FollowSymlinks comment contr ler les htaccess S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 htaccess Est ce bien htaccess V rifier AecesshileName htaccess le verifier pour tous les vh Meme si tout semble normal le verifier quand meme eee ele Name htaccess readme S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 28 htaccess Activer d sactiver les htaccess AllowOverride AuthConfig
13. ont la meme chose Alias ne peut apparaitre dans ntaccess donc l extension de l espace web via des alias est sous contr le S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 22 62 Espace web total espace web total U DocumentRoot u UserDir uU Alias vh vh sous controle du sysadmin trouver le fichier de conf principal puis weet Mincluos httpd conf recursivement majo oS oerverRoot conf eee oS POCUMentRoot conf meso USerDir conf weep Vs Alias conf meee oCriptAlias conf S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 23 Contig par d faut httpd 2 2 14 tar gz configure prefix usr local apache AN D include httpd conf E R SepverRoot conf ServerRoot usr local apache ore eee DOCumentRoot conf DocumentRoot usr local apache htdocs AN D k UserDir conf EE 00 Alias conf AN D SCriptAlias conf PR PS COl biny usr local apache cgi bin S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 24 Config par d faut centos5 4 0 Ss include httpd conf MOMIE cons d conf DO ServyerRoot conf A MROOC etc httpda EN DM DocumentRoot conf DocumentRoot var www html ER DO UserDir conf UserDir disable eeraeenee S Alias conf ER c
14. pace web beaucoup de fichiers accessibles en lecture par tous n ont pas vocation a tre servi par apache etc home proc Parades chroot restreindre les droits d acces via l OS les droits standard u g o insuffisants ACL SELinux co Utliser les contr les d acces offerts par Apache s ewer 20 16 User amp Group d finissent l identit du process Apache contexte server config depuis Apache 2 User et Group ne peuvent plus tre utilises dans un contexte VH normalement le serveur httpd est lance par root le process initial reste sous l identit root et les process fils prennent l identit sp cifi e par User Group L identit sp cifi e ne doit avoir aucun privil ge lui permettant d acc der des fichiers qui n ont pas tre visibles hors du serveur ni d ex cuter du code sans rapport avec le traitement de requ tes HTTP Il est d conseill d utiliser un compte deja existant nobody qui peut servir a autre chose el CNRS LAREMA tojres Paris 4 f vrier 2010 QZ 62 Espace web principal DocumentRoot r pertoire racine de l espace web principal dans le cas general hors Alias par exemple Apache ajoute a DocumentRoot le chemin requis dans l URL pour obtenir le chemin du document a servir S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 Espace
15. rbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 36 62 Directive Satisfy satisfy all require ET allow deny satisfy any require OU allow deny satisfy Directive Description Interaction between host level access control and user authentication Syntax Satisfy Any All Default Satisfy All Context directory htaccess Override AuthConfig Status Core Module core Compatibility Influenced by lt Limit gt and lt LimitExcept gt in version 2 0 51 and later S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 37 Config par d faut httpd 2 2 14 tar gz Dec tory gt DOM Fol lowSymLinks AllowOverride None Order deny allow Deny from all Director y gt DC OMS local apache htdocs gt Options Indexes FollowSymLinks AllowOverride None Order allow deny Allow from all PHDicectory gt D OoDSsr local apache cgi bin gt AllowOverride None Options None Order allow deny eno from all 7 Directory gt Sfemeetetiatch ht gt Order allow deny Deny from al ery Al lt FilesMatch gt S appropr 38 DAME CEOrTY gt Options FollowSymLinks AllowOverride None F Paseo ectLory gt lt Directory var www html gt Options Indexes FollowSymLinks AllowOverride None Order allow deny Allow from all Director y gt lt Directory usr local apache cgi bin gt AllowOverride None Options None Order allow deny Pere trom all 7 w
16. rbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 43 62 Les ACL Apport donner des droits a plus d un utilisateur donner des droits a plus d un groupe Donc ICI d finir un groupe de webmasters wm site par site pour le DocumentRoot d un site propri taire createur wm_site owm site rwx user OU groupe apache r x autre S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 44 ACL mode d emploi Activer les ACL sur la partition S grep htdocs etc fstab PA htdocs htdocs ext3 defaults acl TZ Positionner les ACL sur un fichier setfacl m u rw m g apache r m g wmsite rw m o page html Positionner les ACL sur une arborescence de repertoires ral R mo aaae r X m g wmsite rwX m o mera a apache rx m d g wmsite rwx m d o Hnedoecs site S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 45 Consultation des ACL S getfacl htdocs site user rwx paolo 2 cw xX enemies apache r x group wmsite rwx mask rwx o Cae a S default user rwx emule GQFOUp r xX default group apache r x default group wmsite rwx default mask rwx aUl oher S getfacl htdocs site index html user rw OUP rw meme apache r group wmsite rw MAS kes TWX S approprier une configuration Apache Jacquelin Charbonnel CNRS LARE
17. web principal DocumentRoot peut apparaitre dans un contexte VirtualHost espace web principal DocumentRoot vh DocumentRoot ne peut apparaitre dans un htaccess donc la d finition de l espace web principal est sous contr le du sysadmin S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 62 Espace des pages perso UserDir d finit la racine des pages perso Mapping de http www x tfr gaston page html Userdir mappin public html gaston public html page html var pages perso var pages perso gaston page html var pages perso var gaston pages perso page html http autre fr http autre fr gaston page html S approprier une configuration Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 20 Espace des pages perso UserDir disabled UserbDir disabled UserDir enable userl user2 user3 UserDir enabled UserDir disabled root nobody apache UserDir peut appara tre dans un contexte VH Espace pages perso U UserDir vh UserDir ne peut apparaitre dans htaccess donc la d finition des espaces pages perso est sous contr le 21 S approprie tion Apache Jacquelin Charbonnel CNRS LAREMA TutoJres Paris 4 f vrier 2010 62 Alias rattache une arborescence l espace web Eee usr linux docs http www exemple fr doc page html mapp en usr linux docs page html AliasMatch ScriptAliasMatch ScriptAlias f
Download Pdf Manuals
Related Search
tutojres tutores 2025 tutores 2024 tutores para plantas tutores derecho tutores externos tutores significado tutores 2023 tutores itea tutores de madera tutores virtuales tutores para arboles tutores para tomates