Rappel sur la sécurisation de base d` Apache
Contents
1. Protection d un serveur Apache Jacquelin Charbonnel CNRS LAREMA modifi M Libes pour la formation ADF en DR12 F v 2009 ADF Aide la D tection des Faiblesses d un site web Journ es UREC Montpellier Septembre 2008 Introduction un serveur Apache fra chement install poss de un niveau de s curit satisfaisant au fil du temps le nombre de documents cro t la configuration s toffe et est modifi e la s curit de l ensemble diminue Rajout de Virtual Hosts de machines Virtuelles Installation de nouveaux logiciels web Ajouts de nouveaux repertoires et fichiers de test qu on oublie Developpement de scripts Possibilit de sysadmins differents Comment s curiser le serveur Apache au fil du temps comment avoir une vue synoptique d un serveur Apache en activite comment valuer le niveau de s curit induit par la configuration en place Problemes plus importants si lusieurs webmaster E NRS F v 2 Introduction Cet expose A pour but de donner une vision de la s curit l espace Web sous contr le d Apache et le contenir se focalise sur quelques aspects de la configuration de base d Apache et de son environnement syst me sous Unix Linux n est pas un panorama des possibilit s de configuration d Apache impactant la s curit 391 directives de configuration pour Apache 2 2 n a donc pas la pr tention d tre complet ou exhaustif ADF DRI22. bordements de l espace web par d faut Restreindre l espace web Identifier les scripts activables Contr ler le p rim tre d action des scripts Etanch ifier les territoires des webmasters ADF DRI2 CNRS F v 2009 53 Une action executable de Apache peut tre li e statiquement au serveur ajout e comme un module charg par le serveur mod_action mod_status mod_server ajoutee avec la directive Action pour traiter des fichiers d un type particulier Action image gif cgi bin images cgi Pris en charge par des filtres SetinputFilter SetOutputFilter ADF DR12 CNRS F v 2009 54 Actions pr d finies default handler envoie le contenu statique du fichier send as is envoie un fichier contenant ses propres en t tes HTTP cgi script traite le fichier comme un CGI imap file traite le fichier comme une image map server info renvoie des infos sur la config server status renvoie des infos sur l tat du serveur ADF DR12 CNRS F v 2009 55 Directive Action Permet de d finir une action et l associer un type MIME Action image gif cgi bin images cgi Definir et nommer une action sans association Action add footer co1 bin footer pl ADF DR12 CNRS F v 2009 56 Handler definition et declenchement d une certaine action en fonction dun type de contenu d une extension de fichier dun emplacement de fichier ADF DR1
3. e g index html MultiViews permet la n gociation de contenu m thode par laquelle le gt eur realise une recherche par motifs implicites et choisit parmi les r sultats 4 ADF DRI2 CNRS F v 2009 37 H ritage des options inter r pertoires lt Directory dir gt Options Fa loprt mom I lotion lt DUCECT PLY gt Sans ni Options crase les options h rit es lt Directory var www gt Options MultiViews les liens ne seront pas suivis lt Directory gt Avec ou Options rajoute ou enleve les options heritees lt Directory var www labo gt Options Indexes MultiViews lt Directory gt ADF DR12 CNRS F v 2009 38 H ritage des options lt Directory var www gt Options Followsymlinks lt Directory gt Les symlinks sont ils pour autant d sactiv s pas forcement s il existe un fichier htaccess contenant rappel les fichiers htacces sont valu s en dernier Options FollowSymlinks gt Comment controler la presence des htaccess dans les repertoires des utilisateurs ADF DR12 CNRS F v 2009 39 Maitriser les htaccess Le nom des fichiers de surcharge est il bien htaccess verifier AccessFileName htaccess le v rifier pour tous les virtual host M me si tout semble normal le v rifier quand m me AccessFileName htaccess readme Activer d sactiver les htaccess AllowOverride Directory gt Allow
4. ADF DR12 CNRS F v 2009 7 Syntaxe de la configuration Fichier de configuration principal le nom par d faut est defini a la compil il peut tre sp cifi en ligne de commande contient des lignes de la forme directive arguments lt section gt directive arguments directive arguments lt section gt lt section gt lt section gt directive arguments directive arguments lt section gt lt section gt Configuration d Apache Le param trage d apache permet de d signer Des r pertoires lt Directory gt Des URL lt Location gt Des fichiers lt Files gt Des Hotes virtuels serveurs web virtuels meme adresse IP mais nom diff rent ADF DR12 CNRS F v 2009 9 Section lt Directory gt lt DirectoryMatch gt lt Directory var www html gt directive lt Directory Directory y mome publi Remit directive lt Directory gt lt DirectoryMatch www 1 4 2 0 91131 gt AIT SIIV 2724 lt DirectoryMatch gt Les directives s appliquent aux repertoires s identifiant a l expression et a ses sous repertoires A Pas appliqu es si acces via un chemin different symlink S appliquent dans l ordre de la correspondance de la plus courte a la plus longue var var www var www html ADF DR12 CNRS F v 2009 10 Section lt Files gt lt FilesMatch gt Les directives s appliquent aux objets ayant un basename s identif
5. CNRS F v 2009 3 Vocabulaire Espace web URL space fichiers et r pertoires du filesystem accessibles par HTTP Webmaster un compte d clar sur le serveur ayant des droits d criture sur une partie de l espace web hors pages perso Utilisateur un compte declare sur le serveur ayant au moins la possibilit d crire des pages perso ADF DRI2 CNRS F v 2009 4 G n ralit s sur la configuration d Apache Determiner l espace web sous contr le Contenir les d bordements de l espace web par d faut Restreindre l espace web Identifier les scripts activables Contr ler le p rim tre d action des scripts Etanch ifier les territoires des webmasters ADF DRI2 CNRS F v 2009 5 Fichiers de configuration Un fichier de config principal etc apache2 apache2 conf sous contr le de root hors de l espace web Des fichiers de config inclus sous contr le de root hors de l espace web Des fichiers htaccess sous contr le des webmasters dans l espace web A ADF DR12 CNRS F v 2009 6 Fichiers de configuration root peut activer d sactiver limiter l usage des fichiers htaccess Une modification du fichier de config principal n cessite un red marrage d Apache Alors que toute modification d un htaccess est prise en compte instantan ment par le serveur L activation des htaccess implique un travail suppl mentaire pour Apache scruter les r pertoires
6. UID et le GID sous lequel il doit s ex cuter ADF DR12 CNRS F v 2009 71 SuExec mise en oeuvre N cessite un binaire suexec S la lI ns Spin Ssuexco ES x 1 Foot apache usr sbin suexec Installe avec apache sur Fedora CentOs Tarball configure enable suexec Au lancement de httpd notice suEXEC mechanism enabled wrapper path to suexec 2 utilisations par virtual hosts par userdir ADF DRI2 CNRS F v 2009 Te SuExec par Virtual Host GE EE Moet X gt SuexecUserGroup userA Groupes lt VirtualHost gt suExec v rifie que le path du CGI ne commence par et ne contient pas que ni le user ni le groupe ne sont root que l UID resp GID est gt au minimum UID resp GID que seul l utilisateur a un droit d criture dans le r pertoire que seul l utilisateur a un droit d criture sur le script que l utilisateur groupe de SuExecUserGroup correspond au proprietaire groupe du script Si OK suExec prend l identit et le groupe mentionn ADF DR12 CNRS F v 2009 73 SuExec par UserDir Suexec execute le CGI sous l identit du propri taire du userdir suExec v rifie que l UID resp GID est gt au minimum UID resp GID que seul l utilisateur a un droit d criture dans le repertoire que seul l utilisateur a un droit d criture sur le script que l utilisateur groupe propri taire du userdir correspond au proprietaire groupe du script Si OK
7. gna ture On Apache Server at www math univ angers fr Port 80 ServerTokens Prod G n ralit s sur la configuration d Apache Determiner l espace web sous controle Contenir les d bordements de l espace web par d faut Restreindre l espace web Identifier les scripts activables Contr ler le p rim tre d action des scripts Etanch ifier les territoires des webmasters ADF DRI2 CNRS F v 2009 23 L espace web URL space Ensemble des repertoires fichiers qu Apache peut servir Les r pertoires fichiers qui n ont pas vocation a tre servi par Apache doivent tre inaccessibles par l UID sous lequel tourne Apache ils sont hors de l espace web sauf utilisation de suExec Or il existe des fichiers accessibles en lecture par tous rw r r qui n ont pas vocation a tre servi par Apache etc home proc Parades chroot virtualisation utiliser les contr les d acc s d Apache restreindre les droits d acc s via l OS en executant Apache sous un uid gid particuliers ADF DRI2 CNRS F v 2009 24 Directives User amp Group user et group d finissent l identit sous laquelle tourne le serveur et il r pond aux requ tes http contexte server config Le serveur httpd est lance par root le process initial reste sous l identit root et les process fils prennent l identit sp cifi e par User Group L identit sp cifi e ne doit avoir aucun privilege l
8. of directives that are allowed VE AUS AllowOverride All Nonel direct Description Interaction between host level access control and user authentication AllowOverride All gent A yntax Satisfy Any All directory pauperis Default Satisfy All Core j t re Context directory htaccess Override AuthConfig Status Core Module core Compatibility Influenced by lt Limit gt and lt LimitExcept gt N version 2 0 51 and later Priorite des sections A conna tre car les consequences sont importantes 1 lt Directory gt et htaccess N pour un niveau donn htaccess pr vaut sur lt directory gt 2 lt DirectoryMatch gt 3 lt Files gt et lt FilesMatch gt 4 lt Location gt et lt LocationMatch gt Sinon chaque groupe identique est trait suivant l ordre d apparition ADF DR12 CNRS F v 2009 19 Priorite des sections Les sections dans lt VirtualHost gt sont appliqu es apres les sections correspondantes globales Ne pas abuser des imbrications Exemple de mauvaise id e lt VirtualHost a gt qUDEPSCTOrYy ies lt Directory gt Virtue nest Attention lt Location gt a le dernier mot Location y gt order deny allow allow from all lt T0Cation gt ADF DR12 CNRS F v 2009 20 La signature des serveurs ServerSignature On Off Attention On donne trop d informations interessantes en cas de failles default ServerSignatu
9. 2 CNRS F v 2009 SE Directive AddHandler Etablit une relation entre une extension de fichier et un script qui va les traiter Contexte server config virtual host directory htaccess Exemples pour que les fichiers html soient trait s par le script footer pl Les fichiers xyz seront trait s par les scripts program cgI AddHandler add footer html Action add footer cgi bin foorer ol Files Of a particular file extension AddHandler my file type xyz Action my file typ cqgi bin program cgi ADF DR12 CNRS F v 2009 58 Directive SetHandler Cr er un handler pour tous les fichiers inconditionnel situ s dans un emplacement Contexte server config virtual host directory htaccess Exemple toute les images de ce repertoire images seront pris en charge par images cgi Action gif handler 7 co1sbin images coi lt Directory htdocs images gt SetHandler gif handler Direc ory lt Location server status gt SetHandler server status Order allow deny Allow from com univ mrs fr lt LTocation gt Pour Interdire AddHandler et SetHandler dans htaccess ne pas sp cifier Allow Qverride Filelnfo 59 Permet de specifier des traitements a executer avant ou apres l action setinputFilter defini le filtre qui va prendre en charge la requ te du client avant qu elle soit envoyee au serveur AddinputFilter SetOutputFilter d fini le filtre qui va prendre
10. Override None lt Directory gt lt Directory var www html permissif gt AllowOverride All lt Di rectory ADF DR12 CNRS F v 2009 40 AllowOverride que peut on surcharger AuthConfig permet utilisation des fichiers d authentification AuthDBMGroupFile AuthDBMUserFile AuthGroupFile AuthName AuthType AuthUserFile Require etc Filelnfo permet utilisation de directives controlant les types de fichiers DefaultType ErrorDocument ForceType LanguagePriority SetHandler SetinputFilter SetOutputFilter Indexes permet utilisation de directives controlant l indexation des repertoires AddDescription Addlcon AddlconByEncoding AddiconByType Defaultlcon Directoryindex Fancylndexing HeaderName Indexlgnore IndexOptions ReadmeName etc Limit permet utilisation de directives controlant l acces des clients Allow Deny and Order Options permet utilisation de la directive option All none toutes ou aucune des options ci dessus ADF DRI2 CNRS F v 2009 41 Config par d faut tarball amp lt Directory gt Options FollowSymLinks AllowOverride None lt DAKECT Ory gt Directory usr local apache htdocs gt Options Indexes FollowSymLinks AllowOverride None lt DIFectory gt lt Directory usr local apache cgi bin gt AllowOverride None Options None Ej Directory Pourquoi ce laxisme Explication personnelle ne pas suivre les symlinks ou les suivre si prop
11. T ROOT usr local etc httpd htdocs PATH bin Sbin usr bin usr sbin SCRIPT FTLENAME use Local htrpa htdocs support printenv html SERVER SOFTWARE Apache 1 13437 MUA USER NAME FrO0t WWSERVER SIGNATURE Autoris par Options Includes Options IncludesNoExec Possible a specifier dans htaccess si AllowOverride Options AllowOverride Options Includes AllowOverride Options IncludesNoExec M me avec Options IncludesNoExec toujours possible de lancer un script avec lt inachudenvairhmal cgi bin xx pl s gt Ou sont les CGI les definitions de handlers SetHandler cgi script AddHandler cqi 8cript cgi les options d ex cution ScriptAlias cgi bin web cgi b1n quivalent Alias cgi bin web cgi bin Location Jequ bam gt setHandiler cgi script Options bereest lt Location gt Mettre les scripts CGI hors de l espace web principal pas sous DocumentRoot pour viter que le code source soit accidentellement expos xx cgi xx cgi bak ADF DR12 CNRS F v 2009 Ou sont les autres scripts Pour PHP LoadModule php5 module modules libphp5 so Addhandl r phpoa seript php AddType text html php pas de localisation particuliere pas d options n cessaires pour les repertoires ADF DRI2 CNRS F v 2009 67 Attention extensions multiples Les fichiers peuvent avoir plusieurs extensions L ordre des extensions n est pas significatif si
12. en charge la r ponse du serveur avant qu elle ne soit envoy e au client AddOutputFilter AddOutputFilterByType ADF DRI2 CNRS F v 2009 60 G n ralit s sur la configuration d Apache Determiner l espace web sous contr le Contenir les d bordements de l espace web par d faut Restreindre l espace web Identifier les scripts activables Controler le perimetre d action des scripts Etanch ifier les territoires des webmasters ADF DRI2 CNRS F v 2009 61 Ou sont les scripts Que font les scripts Que consomment les scripts ADF DR12 CNRS F v 2009 62 Conf par d faut config initiale tarball 5 grep hr handler action tilter Rttpd cont AddHandl r Ci Script cgi AddHandler type map var AddOutputFilter INCLUDES shtml config initiale Fedora gt grep handier factionmfilterr httpd cont AddHandler cgi script egi AddHandler type map var AddO0utputFilter INCLUDES shtml ADF DR12 CNRS F v 2009 63 Server Side Include SSI Permet d ins rer du code dans les pages HTML Exemple a Cat LS nen lt html gt lt body gt rl mexec EMA ls Scho SQUPRY O TRINGI sed te A RE me lt body gt SR ENEE permet d obtenir la liste des fichiers d un utilisateur par htto servername s html user tartempion Autoris par Options Includes ADF DRI2 CNRS F v 2009 64 Server Side Include SSI Plus anodin lt T printen gt DOCUMEN
13. exes est positionn e la liste des fichiers et repertoires de ce repertoire est affich e gt sinon une erreur est retourn e ADF DRI2 CNRS F v 2009 49 Pour autoriser Options Indexes dans htaccess AllowOverride Options AllowOverride Options Indexes Autoriser Directoryindex dans htaccess AllowOverride Indexes ADF DRI2 CNRS F v 2009 50 Interdire l acc s a des repertoires ou fichiers lt Directory gt lt FilesMatch gt order deny allow deny from all lt FilesMatch gt Dire Story lt LoOcationMateh to order deny allow deny from all lt LocationMateh gt RewriteEngine On RewriteLog logs rewrite log RewriteLoglevel 9 RewriteRule Y TE Rewer rernile uNa 7 ES RewriteRule etc passwd F RewriteRule etc shadow F F Forbidden ADF DR12 CNRS F v 2009 51 Configuration initiale lt Directory y gt Order deny allow Deny from all lt Directory gt lt Directory usr local apach htdocs gt Order allow deny Allow rrom all lt Directory ne pas interdire QUE les fichiers ht mais aussi toutes les autres fichiers qu on laisse par erreur Files E it jee A Beso README Dels iaa Peal tas Tes E Order allow deny Deny from all lt Files gt lt Directory usr local apache cgi bin gt ADF DR12 CNRS F v 2009 52 G n ralit s sur la configuration d Apache Determiner l espace web sous contr le Contenir les d
14. iant l expression Les sections sont appliqu es dans l ordre d apparition dans le fichier de conf Peut tre incluse dans une section lt Directory gt Files htaccess lt Files gt lt FPrlesMarch No ge 70e70q png T gt lt FilesMatch gt ADF DR12 CNRS F v 2009 11 Section lt Location gt lt Locacion 7 Status SetHandler server status lt locaton Les directives de lt Location gt s appliquent a une URL Utilis e pour un contenu r sidant dans l espace Web Appliquees dans l ordre d apparition dans le fichier de conf EN 4A lt Location gt est un moyen commode d appliquer une directive tout l espace web H d ADF DR12 CNRS F v 2009 12 Prioritaires sur lt Directory gt et lt Files gt Section lt Limit gt lt LIMIEt POST PUT DELETES Require valid user lt Limit gt lt LimitExcept GET gt Require valid user AmE lt Limit gt pour limiter l acc s a des espaces Web GET POST PUT DELETE CONNECT OPTIONS PATCH PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK Noms des m thodes sensibles a la casse Peut appara tre dans lt Directory gt 4A ADF DRI2 CNRS F v 2009 13 Section lt VirtualHost gt Vieta lost O 1 22 DocumentRoot www docs host foo com ServerName host foo com lt VirtualHost 2001 db8 a00 20ff fea7 ccea gt lt VirtualHost gt ADF DR12 CNRS F v 2009 14 Imbrication des sections Vi
15. ipts Etancheifier les territoires des webmasters ADF DRI2 CNRS F v 2009 78 Objectif limiter le rayon d action des webmasters Le minimum apache doit pouvoir lire tous les espaces web de tous les vh les webmasters d un site doivent pouvoir ecrire dans leur espace avoir le minimum de droit sur les espaces des autres sites ADF DRI2 CNRS F v 2009 79 Creer un groupe wmsite par site y mettre tous les webmasters du site propri taire des fichiers cr ateur wmsite droits rwxrwxr x gt tout le monde a acces en lecture acces aux htaccess htpasswd source des scripts ADF DR12 CNRS F v 2009 80 Creer un groupe wmsite par site y mettre tous les webmasters du site apache propri taire des fichiers cr ateur wmsite droits rwxrwx gt apache a acces en ecriture a tous les fichiers ADF DRI2 CNRS F v 2009 81 Possibilites donner des droits pour divers utilisateurs donner des droits pour divers groupes Ici definir un groupe de webmasters wmsite par site pour le DocumentRoot d un site propri taire root wmsite droits proprietaire rwx wmsite rwx user ou groupe apache r x autre ADF DR12 CNRS F v 2009 82 ACL mode d emploi H A em H H Actis grep htdocs etc fstab LABEL htdocs htdocs ext3 defaults acl 1 2 AC a O remount acl hidoecs meet M USTEN m gJ apach eir m q wmsite
16. irw m Ot page html setfacl R F T Wltrwx m g iapache r X m g wmsL1te twX mos A Shed Us ewe Mao ape ches md ms ite Cu fe r fhtdocs s81t e Consultation des ACL 9 getfacl htdocs sit user LWX Group TwWx group apache r x group wmsite rwx mask rwx other default user rwx derault group r z detault group apache rer default group wmsite rwx default mask rwx asta mocher S getfacl htdocs site index html users rw Groupi rw arouprapache zr Group wms1te rw mask rwx ADF DR12 CNRS F v 2009 84 A propos de permission ne pas faire chmod 777 Comme indique dans les docs d installation des CMS et wikis chown apache Fichier qu rep chgro apache Fichier o rep chmod g rw fichier chmod g rwx rep setacl m u apache rwx d u apache rwx rep setacl m g apache rwx d g apache rwx rep ADF DRI2 CNRS F v 2009 85 Conclusion ADF DR12 CNRS F v 2009 86 Sources d inspiration Exp rience issue de la r organisation du web au LAL IN2P3 2003 2004 au d part un cluster central disposant d un SAN pour tout le stockage du labo homedir web donn es d exp rience etc de tous les utilisateurs du labo plusieurs centaines de comptes d un site web monolithique apres reorganisation eclatement de l espace web en 120 vh 120 DocumentRoot tanches Experience issue de la mise en place de la plate forme d hebergement de sites
17. le fichier exemple html fr est associ au content type text html et au content language fr alors le fichier exemple fr html sera consid r de fa on identique si html est associ au type MIME text html et CO associ au handler cgi script alors x cgi html sera trait comme un CGI de m me que x html cgi ADF DRI2 CNRS F v 2009 68 Attention extensions multiples Pour viter ce comportement ne pas utiliser Add directives AddHandler ecgi seript cgi Par exemple pour que x html cgi doit considere comme un CGI mais pas x cgi html lt FilesMatch cgiS gt setHandier col script lt FilesMatch gt ADF DRI2 CNRS F v 2009 69 Identit des processus Tous les scripts SSI CGI tournent sous une m me identit celle du serveur Apache gt Un script d faillant peut impacter les donn es utilis es par les scripts des autres webmasters Precaution n cessaire mais insuffisante le compte Apache doit tre desactive sans shell ADF DRI2 CNRS F v 2009 70 suExec ex cute les CGI sous l identit du propri taire du fichier et non pas sous l identit du serveur web Utilis proprement suExec r duit consid rablement les risques induits par le d veloppement de CGI par les webmasters na utilise il peut par contre ouvrir de nouveaux trous d SuExec est un wrapper entre Apache et le CGI Apache appelle le wrapper avec le nom du script a ex cuter l
18. nterdit par defaut sauf ce qui est autorise a moins que ce soit interdit Order Allow Deny Allow from partenaire fr Deny from agent double partenaire fr Autoriser le positionnement de order allow et deny dans un htaccess AllowOverride Limit filtrage par authentification Pour prot ger un r pertoire prive N cessit d un fichier de login mot de passe sp cifique lt Location prove gt AuthType basic AuthName private area AuthBasicProvider dbm AuthDBMType SDBM AuthDBMUserFile www etc dbmpasswd Require valid user lt Location gt Le serveur va demander require un utilisateur valide existant dans le fichier dbmpasswd ADF DRI2 CNRS F v 2009 47 Directive Satisfy La directive satisfy permet de combiner les 2 types de protection par adresse et ou authentification Valeurs All ou Any satisfy all require ET allow deny satisfy any require OU allow deny ICA WEdOCe EE Order Allow Deny Allow from all Satisfy Any Dren e EE EE Ve Require valid user Directory dans cet exemple l authentification n a pas lieu allow from all et Any Pour autoriser Satisfy dans htaccess a AllowOverride AuthConfig 48 Option Indexes Lorsque Apache acc de a un r pertoire du web space si ce r pertoire contient un index html nom de fichier defini par la directive Directorylndex c est ce fichier qui est renvoy sinon si l option Ind
19. pace web par defaut Restreindre l espace web Identifier les scripts activables Contr ler le p rim tre d action des scripts Etanch ifier les territoires des webmasters ADF DRI2 CNRS F v 2009 35 Liens symboliques Les liens symboliques situ s dans l espace web ouvrent des breches vers le filesystem exterieur au Web space In s etc passwd gaston Hors contr le du sysadmin Comment les permettre tout e so mitant lt Directory var www html gt Options Followsymlinks lt Directory lt Directory var www html gt Options FollowSymlinksIfOwnerMatch lt Directory gt ADF DR12 CNRS F v 2009 36 Les options de Apache All toute les options ci dessous sauf MultiViews config par d faut ExecCGl permet l ex cution de scripts CGI n cessit du module mod_cgi FollowSymLinks Le serveur peut suivre les liens symboliques dans ce r pertoire SymLinkslfOwnerMatch Le serveur peut suivre les liens symboliques uniquement si le fichier source et le fichier cible ont le m me propri taire Includes permission d utiliser les Server side includes commandes qu on peut int grer dans des pages html n cessit du module mod_include IncludesNOEXEC permission d utiliser les Server side includes SAUF les exec cmd and exec cgi Indexes en l absence d un fichier index html le serveur affiche la liste des fichiers pr sents dans un r pertoire Directorylndex
20. ptAlias fait la m me chose et sp cifie en plus que tous les fichiers doivent tre trait s comme des scripts CGI AliasMatch ScriptAliasMatch Alias est interdit dans htaccess donc l extension de l espace web via des alias est sous controle du webmaster ADF DRI2 CNRS F v 2009 31 Resume de l URL Space ADF DRI2 CNRS F v 2009 52 Espace web total espace web total U DocumentRoot U UserDir U Alias U VirtualHost Ww sous contr le du sysadmin k Pour avoir une id e de l espace Web trouver 1e uchier de conf principal httpd conf apache2 conf puis grep i AYTg inctlude Httpd conf r cursivement grep j FE ee Ee cont grep j is DocumentRoot jont gren i Eet conf grep i Vea lisse SONT grep 1 STANE ccriptAiligse CONE ADF DR12 CNRS F v 2009 33 Exemple de recherche de l URL 5 grep i s include hitedscont Include conf d conf gt grep 1i N s lerverRoot cont ServerRoot etc httpd 5 grep i M s DocumentRoot cone DocumentRoot var www html 5 grep j Ms UsgerDir COn UserDir disable S grep ea hee Scour Alias icons va www icens Altas error Nat www error 5 Grep j Ns Sscripralias cont seriprtalias cqi bany var wiw cgi bin ADF DR12 CNRS F v 2009 34 G n ralit s sur la configuration d Apache Determiner l espace web sous contr le Contenir les d bordements de l es
21. rRoot et DocumentRoot et VirtualHost ne sont possibles que dans la config principale donc la definition de l espace web principal est sous controle du sysadmin L ADF DRI2 CNRS F v 2009 28 Espace des pages personnelles La directive UserDir d finit la racine des pages personnelles Par d faut UserDir public_html Mapping de http www x fr gaston page html Userdir public_html var pages_perso var pages_perso http autre fr ADF mappin gaston public_html page html var pages_perso gaston page html var gaston pages_perso page html http autre fr gaston page html DR12 CNRS F v 2009 29 Espace des pages personnelles On peut desactiver ou activer des pages personneles y recommand pour les pages perso de root lt lt UserDir disabled raoul gaston UserDir disabled root UserDir disabled UserDir enable userl user2 user3 UserDir enabled UserDir disabled root nobody apache UserDir peut apparaitre dans un contexte Virtual Host Espace pages perso U espace pages perso des VH UserDir interdit dans htaccess donc la d finition des espaces pages perso est sous contr le du webmaster ADF DRI2 CNRS F v 2009 Directive Alias ScriptAlias Rattache n importe quelle arborescence de repertoires du filesystem a l espace web Alias dee ustr linux docs http www exemple fr doc page html mapp en usr linux docs page html Scri
22. re Off apache 2 2 context server config virtual host directory htaccess 404 Sor Fourie Mozilla Fir sio Fichier Edition Affichage Historique Marque pages Ggs 2 G fr D g Ba o Cd X dei 1 http math univ angers fr notfound Y EI P g P Disable Cookies E Forms E Images E Information Outline Resize gt Options X Not Found The requested URL notfound was not found on this server Apache 2 0 52 CentOS mod_perl 1 99 16 Perl v5 8 5 DAV 2 PHP 5 1 6 mod_python 3 1 3 Python 2 3 4 mod_ssl 2 0 52 OpenSSL 0 9 7a Server at www math univ angers fr Port 80 Termin y P 21 Signature des Serveurs ServerTokens ServerTokens Major Minor Min imal Prod uctOnly OS Full default ServerTokens Full context server config 5 telnet localhost 80 Miia gala ake ETA la Connected to localhost Escape character is HEAD RTE 1 0 III FOUS Mozala Fir sius GE u a 2 oo al Fichier Edition Affichage Historique Marque pages utils 2 G 3 He ca soi CA Server Apacne LoS ido Un DS X A D rtpymatnunvangers frnotfound lE lt MS PHP 420 3011 mod perl l Connections close Content Type text html Not Found Disable Cookies E Forms BM Images E Information 4 Outline Resize gt Options X Connection closed by ford The requested URL notfound was not found on this server ServerSi
23. ren ses lt DLCSCLOLY rie Paes a SLIMIE 334 S RIE see lt Piles gt Directory lt 7 Virtua NEE ADF DRI2 CNRS F v 2009 Lors du traitement d une requ te Apache cherche la presence d un fichier htaccess dans tous les r pertoires du chemin menant au document Exemple avant de retourner usr local web index html Apache examine les fichiers htaccess usr htaccess usr local htaccess usr local web htaccess Mieux vaut d sactiver cette fonctionnalit sur Directory gt AllowOverride None lt Directory Les fichiers htaccess se placent dans des repertoires Une directive dans le fichier var www htaccess directivel darer ives est quivalent la m me directive plac e dans le fichier de configuration principal de pache dans une section lt Directory gt lt directory var www gt directivel directive2 lt directory gt ADF DR12 CNRS F v 2009 17 Contexte des directives Les directives apache fonctionnent dans un certain contexte d utilisation l endroit ou peut appara tre une directive server config dans le fichier de configuration principal hors de tout contexte virtual host dans une section lt VirtualHost gt directory dans une section lt Directory gt lt Location gt ou lt Files gt htaccess dans un fichier htaccess AllowOverride Directive Description Types
24. ri taires identiques est couteux 1 appel de Istat pour chaque repertoire du chemin et pour le fichier final ADF DR12 CNRS F v 2009 42 G n ralit s sur la configuration d Apache Determiner l espace web sous contr le Contenir les d bordements de l espace web par d faut Restreindre l espace web Identifier les scripts activables Contr ler le p rim tre d action des scripts Etanch ifier les territoires des webmasters ADF DRI2 CNRS F v 2009 43 Protection de l espace Web Plusieurs types de protection de l espace web sont permises par Apache Par filtrage des adresses IP sources Par authentification Par login passwd Par certificat x509 ADF DRI2 CNRS F v 2009 44 filtrage sur l adresse IP source Allow Allow Allow Allow Allow Allow Allow Allow deny pour permettre ou interdire des adresses from from from from from from From apache org net Lo 10 1 IER 10214020216 ODT db683 a00 20ff tes cosa 10 Se chy Tt Uscr EE lt Directory fdocroot gt Allow from Eh passe lt Directory gt Allow et deny n ont de sens que si l on connait la valeur de order A ADF DRI2 CNRS F v 2009 45 filtrage sur la source Order deny allow tout est autorise par defaut sauf ce qui est interdit a moins que ce soit autorise Order Deny Allow Deny from ennemi com Allow from agent double ennemi com Order allow deny tout est i
25. suExec prend l identit et le groupe du UserDir gt a utiliser sans moderation ADF DR12 CNRS F v 2009 74 Contr ler les consommations StartServers MinSpareServers MaxSpareServers StartThreads MinSpareThreads MaxSpareThreads TAreads Per hrd ee os rire ee ServerLimit MaxRequestsPerChild Ajuster les timeout TimeOut KeepAliveTimeout Ajuster la taille et le nb max des requ tes MaxClients LimitRequestBody LimitXMLRequestBody LimitRequestFields LimitRegquestFieldSize LimitRequestline Adapter le fonctionnement du serveur ee LEE Ia edad RLimitNPROC gt ne pas modifier a lake Gare curs F v 2009 75 Contr ler les consommations HostnameLookups resolution DNS des clients off par d faut logresolve pour traiter les logs attention sur les anciennes versions off gt deny from nom domain jamais v rifi context server config virtual host directory de HostnameLookups on lt Files gt ADF DRI2 CNRS F v 2009 76 Contr ler les consommations robots txt User agent Disallow Cgqi bin Disallow tmp Disallow joe User agent Google Disallow User agent Disallow y ADF DR12 CNRS F v 2009 T G n ralit s sur la configuration d Apache Determiner l espace web sous contr le Contenir les d bordements de l espace web par d faut Restreindre l espace web Identifier les scripts activables Contr ler le p rim tre d action des scr
26. ui permettant d acc der a des fichiers en dehors du Web Space etc ni d ex cuter du code sans rapport avec le traitement de requ tes HTTP Il est d conseill d utiliser un compte d j existant nobody gui peut servir a autre chose ADF DRI2 CNRS F v 2009 25 User amp Group faut donc cr er un compte et un groupe sp cifiques pour Apache www data apache Si le serveur n est pas lanc par root il ne peut pas changer l identit de ses fils et par consequent sert les documents sous l identit qui l a lance depuis Apache 2 User et Group ne peuvent plus tre utilis s dans un contexte de Virtual Host ADF DR12 CNRS F v 2009 26 Espace web principal ServerRoot Racine du serveur repertoire a partir duquel Apache est installe et configure etc apache2 contient par defaut des repertoires conf logs bin htdocs cela varie selon les distributions DocumentRoot d finit la racine de l espace web principal var www dans le cas general hors Alias par exemple Apache ajoute a DocumentRoot le chemin requis dans l URL pour obtenir le chemin du document a servir ServerRoot etc apache2 DocumentRoot var www http www monserveur fr toto html Espace web principal DocumentRoot peut appara tre dans un contexte VirtualHost c est la racine de l h te virtuel vh espace web principal U DocumentRoot Principal DocumentRoot des VH Serve
27. web de Mathrice 2007 DR12 CNRS F v 2009 References http httpd apache org docs 2 2 misc security_tips html http httod apache org docs 2 2 misc perf tuning html http www hsc fr ressources http www w3 org Security Apache Security Ivan Ristic O Reilly La derni re version de ce document se trouve Sur http larema math cnrs fr charbonnel ADF DR12 CNRS F v 2009 88
Download Pdf Manuals
Related Search