security_tips.html.fr revision 07dc96d063d49299da433f84b5c5681da9bbdf68
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<?xml version="1.0" encoding="ISO-8859-1"?>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head><!--
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe This file is generated from xml source: DO NOT EDIT
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe -->
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<title>Conseils sur la s�curit� - Serveur Apache HTTP</title>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<link href="/style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<link href="/style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
d29d9ab4614ff992b0e8de6e2b88d52b6f1f153erbowen<link href="/style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="/style/css/prettify.css" />
d29d9ab4614ff992b0e8de6e2b88d52b6f1f153erbowen<script src="/style/scripts/prettify.js" type="text/javascript">
d29d9ab4614ff992b0e8de6e2b88d52b6f1f153erbowen</script>
d29d9ab4614ff992b0e8de6e2b88d52b6f1f153erbowen
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<link href="/images/favicon.ico" rel="shortcut icon" /></head>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<body id="manual-page"><div id="page-header">
af33a4994ae2ff15bc67d19ff1a7feb906745bf8rbowen<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p>
3f08db06526d6901aa08c110b5bc7dde6bc39905nd<p class="apache">Serveur Apache HTTP Version 2.5</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<img alt="" src="/images/feather.gif" /></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="up"><a href="./"><img title="&lt;-" alt="&lt;-" src="/images/left.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div id="path">
3f08db06526d6901aa08c110b5bc7dde6bc39905nd<a href="http://www.apache.org/">Apache</a> &gt; <a href="http://httpd.apache.org/">Serveur HTTP</a> &gt; <a href="http://httpd.apache.org/docs/">Documentation</a> &gt; <a href="../">Version 2.5</a> &gt; <a href="./">Documentations diverses</a></div><div id="page-content"><div id="preamble"><h1>Conseils sur la s�curit�</h1>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="toplang">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<p><span>Langues Disponibles: </span><a href="/en/misc/security_tips.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<a href="/fr/misc/security_tips.html" title="Fran�ais">&nbsp;fr&nbsp;</a> |
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<a href="/ko/misc/security_tips.html" hreflang="ko" rel="alternate" title="Korean">&nbsp;ko&nbsp;</a> |
f086b4b402fa9a2fefc7dda85de2a3cc1cd0a654rjung<a href="/tr/misc/security_tips.html" hreflang="tr" rel="alternate" title="T�rk�e">&nbsp;tr&nbsp;</a></p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe</div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Ce document propose quelques conseils et astuces concernant les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe probl�mes de s�curit� li�s
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe � l'installation d'un serveur web. Certaines suggestions seront � caract�re
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe g�n�ral, tandis que d'autres seront sp�cifiques � Apache.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div id="quickview"><ul id="toc"><li><img alt="" src="/images/down.gif" /> <a href="#uptodate">Maintenez votre serveur � jour</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#dos">Attaques de type "D�ni de service"
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe (Denial of Service - DoS)</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#serverroot">Permissions sur les r�pertoires de la racine du serveur</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#ssi">Inclusions c�t� serveur</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#cgi">Les CGI en g�n�ral</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#nsaliasedcgi">CGI sans alias de script</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#saliasedcgi">CGI avec alias de script</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#dynamic">Autres sources de contenu dynamique</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#systemsettings">Protection de la configuration du syst�me</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#protectserverfiles">Protection par d�faut des fichiers du serveur</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#watchyourlogs">Surveillez vos journaux</a></li>
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf<li><img alt="" src="/images/down.gif" /> <a href="#merging">Fusion des sections de configuration</a></li>
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh</ul><ul class="seealso"><li><a href="#comments_section">Commentaires</a></li></ul></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="section">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="uptodate" id="uptodate">Maintenez votre serveur � jour</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Le serveur HTTP Apache a une bonne r�putation en mati�re de s�curit�
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe et poss�de une communaut� de d�veloppeurs tr�s sensibilis�s aux probl�mes
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe de s�curit�. Mais il est in�vitable de trouver certains probl�mes
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe -- petits ou grands -- une fois le logiciel mis � disposition. C'est pour
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe cette raison qu'il est crucial de se tenir inform� des mises � jour. Si
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe vous avez obtenu votre version du serveur HTTP directement depuis Apache,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe nous vous conseillons grandement de vous abonner � la <a href="http://httpd.apache.org/lists.html#http-announce">Liste de diffusion
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe des annonces du serveur HTTP</a> qui vous informera de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe la parution des nouvelles versions et des mises � jour de s�curit�. La
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe plupart des distributeurs tiers d'Apache fournissent des services
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe similaires.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Gardez cependant � l'esprit que lorsqu'un serveur web est compromis, le
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe code du serveur HTTP n'est la plupart du temps pas en cause. Les probl�mes
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe proviennent plut�t de code ajout�, de scripts CGI, ou du syst�me
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe d'exploitation sous-jacent. Vous devez donc vous tenir inform� des
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe probl�mes et mises � jour concernant tous les logiciels pr�sents sur
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe votre syst�me.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="section">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="dos" id="dos">Attaques de type "D�ni de service"
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe (Denial of Service - DoS)</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Tous les services r�seau peuvent faire l'objet d'attaques de type
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe "D�ni de service" qui tentent de les emp�cher de r�pondre aux clients en
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe saturant leurs ressources. Il est impossible de se pr�munir totalement
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe contre ce type d'attaques, mais vous pouvez accomplir certaines actions
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe afin de minimiser les probl�mes qu'elles cr�ent.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Souvent, l'outil anti-DoS le plus efficace sera constitu� par le
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe pare-feu ou certaines configurations du syst�me d'exploitation. Par
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe exemple, la plupart des pare-feu peuvent �tre configur�s de fa�on �
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe limiter le nombre de connexions simultan�es depuis une adresse IP ou un
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe r�seau, ce qui permet de pr�venir toute une gamme d'attaques simples.
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Bien s�r, ceci n'est d'aucun secours contre les attaques de type
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe "D�ni de service" distribu�es (DDoS).</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Certains r�glages de la configuration d'Apache peuvent aussi
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe minimiser les probl�mes :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <ul>
49acc6accb4061182ef84dc991aaa346ad01a8ecsf <li>La directive <code class="directive"><a href="/mod/mod_reqtimeout.html#requestreadtimeout">RequestReadTimeout</a></code> permet de
49acc6accb4061182ef84dc991aaa346ad01a8ecsf limiter le temps que met le client pour envoyer sa requ�te.</li>
49acc6accb4061182ef84dc991aaa346ad01a8ecsf
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>La valeur de la directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#timeout">TimeOut</a></code> doit �tre diminu�e sur les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe sites sujets aux attaques DoS. Une valeur de quelques secondes devrait
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe convenir. Cependant, comme <code class="directive"><a href="/mod/core.html#timeout">TimeOut</a></code>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe est actuellement concern� par de nombreuses op�rations diff�rentes, lui
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe attribuer une valeur trop faible peut provoquer des probl�mes avec les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe scripts CGI qui pr�sentent un long temps de r�ponse.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>La valeur de la directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#keepalivetimeout">KeepAliveTimeout</a></code> doit aussi �tre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe diminu�e sur les sites sujets aux attaques DoS. Certains sites
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe d�sactivent m�me compl�tement le "maintien en vie" (keepalives)
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe � l'aide de la directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#keepalive">KeepAlive</a></code>, ce qui bien s�r
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe pr�sente des inconv�nients en mati�re de performances.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Les valeurs des diff�rentes directives fournies par d'autres modules
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe et en rapport avec des d�lais doivent aussi �tre v�rifi�es.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Les directives
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#limitrequestbody">LimitRequestBody</a></code>,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#limitrequestfields">LimitRequestFields</a></code>,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#limitrequestfieldsize">LimitRequestFieldSize</a></code>,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#limitrequestline">LimitRequestLine</a></code>, et
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#limitxmlrequestbody">LimitXMLRequestBody</a></code> doivent �tre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe configur�es avec prudence afin de limiter la consommation de ressources
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe induite par les demandes des clients.
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Sur les syst�mes d'exploitation qui le supportent, assurez-vous que
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe la directive <code class="directive"><a href="/mod/core.html#acceptfilter">AcceptFilter</a></code> est
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe activ�e afin de d�l�guer une partie du traitement des requ�tes au
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe syst�me d'exploitation. Elle est activ�e par d�faut dans le d�mon httpd
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe d'Apache, mais peut n�cessiter une reconfiguration de votre noyau.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
b7f8d802ecaed65eada1fc31472d06d8460d5528igalic <li>Optimisez la directive <code class="directive"><a href="/mod/mpm_common.html#maxrequestworkers">MaxRequestWorkers</a></code> de fa�on � d�finir le nombre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe maximum de connexions simultan�es au dessus duquel les ressources
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe s'�puisent. Voir aussi la <a href="perf-tuning.html">documentation sur l'optimisation des
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe performances</a>.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>L'utilisation d'un <a href="/mpm.html">module mpm</a> thread�
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe vous permet de traiter d'avantage de connexions simultan�es, ce qui
9652bc3a93433d52f80579062986ead2afe0d11fsf minimise l'effet des attaques DoS. Dans le futur, le module mpm
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="module"><a href="/mod/event.html">event</a></code> utilisera un traitement asynchrone afin de ne pas
9652bc3a93433d52f80579062986ead2afe0d11fsf d�dier un thread � chaque connexion. De par la
9652bc3a93433d52f80579062986ead2afe0d11fsf nature de la biblioth�que OpenSSL, le module mpm <code class="module"><a href="/mod/event.html">event</a></code> est actuellement incompatible
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe avec le module <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> ainsi que d'autres filtres
9652bc3a93433d52f80579062986ead2afe0d11fsf en entr�e. Dans ces cas, son comportement se ram�ne � celui
9652bc3a93433d52f80579062986ead2afe0d11fsf du module mpm <code class="module"><a href="/mod/worker.html">worker</a></code>.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Il existe de nombreux modules tiers disponibles � <a href="http://modules.apache.org/">http://modules.apache.org/</a> qui
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe peuvent retreindre les comportements de certains clients et ainsi
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe minimiser les probl�mes de DoS.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </ul>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="section">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="serverroot" id="serverroot">Permissions sur les r�pertoires de la racine du serveur</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Typiquement, Apache est d�marr� par l'utilisateur root, puis il devient
b71e5eae594d54e9e56dc20208c6a7fb52610e29rbowen la propri�t� de l'utilisateur d�fini par la directive <code class="directive"><a href="/mod/mod_unixd.html#user">User</a></code> afin de r�pondre aux demandes. Comme
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe pour toutes les commandes ex�cut�es par root, vous devez vous assurer
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe qu'elle n'est pas modifiable par les utilisateurs autres que root. Les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichiers eux-m�mes, mais aussi les r�pertoires ainsi que leurs parents ne
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe doivent �tre modifiables que par root. Par exemple, si vous avez choisi de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe placer la racine du serveur dans <code>/usr/local/apache</code>, il est conseill� de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe cr�er le r�pertoire en tant que root, avec des commandes du style :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <div class="example"><p><code>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe mkdir /usr/local/apache <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe cd /usr/local/apache <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe mkdir bin conf logs <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe chown 0 . bin conf logs <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe chgrp 0 . bin conf logs <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe chmod 755 . bin conf logs
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </code></p></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Nous supposerons que <code>/</code>, <code>/usr</code> et
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code>/usr/local</code> ne sont modifiables que par
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe root. Quand vous installez l'ex�cutable <code class="program"><a href="/programs/httpd.html">httpd</a></code>, vous
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe devez vous assurer qu'il poss�de des protections similaires :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <div class="example"><p><code>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe cp httpd /usr/local/apache/bin <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe chown 0 /usr/local/apache/bin/httpd <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe chgrp 0 /usr/local/apache/bin/httpd <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe chmod 511 /usr/local/apache/bin/httpd
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </code></p></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Vous pouvez cr�er un sous-r�pertoire htdocs modifiable par d'autres
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe utilisateurs -- car root ne cr�e ni ex�cute aucun fichier dans ce
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe sous-r�pertoire.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Si vous permettez � des utilisateurs non root de modifier des fichiers
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe que root �crit ou ex�cute, vous exposez votre syst�me � une compromission
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe de l'utilisateur root. Par exemple, quelqu'un pourrait remplacer le binaire
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="program"><a href="/programs/httpd.html">httpd</a></code> de fa�on � ce que la prochaine fois que vous le
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe red�marrerez, il ex�cutera un code arbitraire. Si le r�pertoire des
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe journaux a les droits en �criture (pour un utilisateur non root), quelqu'un
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe pourrait remplacer un fichier journal par un lien symbolique vers un autre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichier syst�me, et root pourrait alors �craser ce fichier avec des donn�es
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe arbitraires. Si les fichiers journaux eux-m�mes ont des droits en
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe �criture (pour un utilisateur non root), quelqu'un pourrait
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe modifier les journaux eux-m�mes avec des donn�es fausses.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="section">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="ssi" id="ssi">Inclusions c�t� serveur</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Les inclusions c�t� serveur (Server Side Includes - SSI) exposent
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe l'administrateur du serveur � de nombreux risques potentiels en mati�re de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe s�curit�.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Le premier risque est l'augmentation de la charge du serveur. Tous les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichiers o� SSI est activ� doivent �tre analys�s par Apache, qu'ils
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe contiennent des directives SSI ou non. L'augmentation de la charge induite
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe est minime, mais peut devenir significative dans le contexte d'un
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe serveur partag�.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Les fichiers SSI pr�sentent les m�mes risques que les scripts CGI en
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe g�n�ral. Les fichiers o� SSI est activ� peuvent ex�cuter tout script CGI
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe ou autre programme � l'aide de la commande <code>"exec cmd"</code> avec les permissions
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe des utilisateur et groupe sous lesquels Apache s'ex�cute, comme d�fini
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe dans <code>httpd.conf</code>.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Des m�thodes existent pour am�liorer la s�curit� des fichiers SSI, tout
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe en tirant parti des b�n�fices qu'ils apportent.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Pour limiter les dommages qu'un fichier SSI agressif pourrait causer,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe l'administrateur du serveur peut activer<a href="/suexec.html">suexec</a>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe comme d�crit dans la section <a href="#cgi">Les CGI en g�n�ral</a>.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>L'activation des SSI pour des fichiers poss�dant des extensions
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code>.html</code> ou
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code>.htm</code> peut s'av�rer dangereux. Ceci est particuli�rement vrai dans un
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe environnement de serveur partag� ou �tant le si�ge d'un traffic �lev�. Les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichiers o� SSI est activ� doivent poss�der une extension sp�cifique, telle
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe que la conventionnelle <code>.shtml</code>. Ceci permet de limiter la charge du serveur
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe � un niveau minimum et de simplifier la gestion des risques.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Une autre solution consiste � interdire l'ex�cution de scripts et
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe programmes � partir de pages SSI. Pour ce faire, remplacez
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code>Includes</code> par <code>IncludesNOEXEC</code> dans la directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#options">Options</a></code>. Notez que les utilisateurs
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe pourront encore utiliser <code>&lt;--#include virtual="..." --&gt;</code> pour ex�cuter
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe des scripts CGI si ces scripts sont situ�s dans des r�pertoires sp�cifi�s
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe par une directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/mod_alias.html#scriptalias">ScriptAlias</a></code>.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="section">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="cgi" id="cgi">Les CGI en g�n�ral</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Tout d'abord, vous devez toujours garder � l'esprit que vous devez
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe faire confiance aux d�veloppeurs de scripts ou programmes CGI ainsi qu'�
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe vos comp�tences pour d�celer les trous de s�curit� potentiels dans les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe CGI, que ceux-ci soient d�lib�r�s ou accidentels. Les scripts CGI peuvent
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe essentiellement ex�cuter des commandes arbitraires sur votre syst�me avec
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe les droits de l'utilisateur du serveur web, et peuvent par cons�quent �tre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe extr�mement dangereux s'ils ne sont pas v�rifi�s avec soin.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Tous les scripts CGI s'ex�cutent sous le m�me utilisateur, il peuvent
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe donc entrer en conflit (accidentellement ou d�lib�r�ment) avec d'autres
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe scripts. Par exemple, l'utilisateur A hait l'utilisateur B, il �crit donc
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe un script qui efface la base de donn�es CGI de l'utilisateur B. Vous pouvez
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe utiliser le programme <a href="/suexec.html">suEXEC</a> pour faire en
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe sorte que les scripts s'ex�cutent sous des utilisateurs diff�rents. Ce
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe programme est inclus dans la distribution d'Apache depuis la version 1.2
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe et est appel� � partir de certaines portions de code du serveur Apache. Une
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe autre m�thode plus connue est l'utilisation de
c88339df8ff949443da567d5fdf6fa0f31bd5efdjim <a href="http://cgiwrap.sourceforge.net/">CGIWrap</a>.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="section">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="nsaliasedcgi" id="nsaliasedcgi">CGI sans alias de script</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Vous ne devez permettre aux utilisateurs d'ex�cuter des scripts CGI
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe depuis n'importe quel r�pertoire que dans l'�ventualit� o� :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <ul>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Vous faites confiance � vos utilisateurs pour ne pas �crire de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe scripts qui vont d�lib�r�ment ou accidentellement exposer votre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe syst�me � une attaque.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Vous estimez que le niveau de s�curit� dans les autres parties de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe votre site est si faible qu'un trou de s�curit� de plus ou de moins
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe n'est pas tr�s important.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Votre syst�me ne comporte aucun utilisateur, et personne ne visite
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe jamais votre site.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </ul>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="section">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="saliasedcgi" id="saliasedcgi">CGI avec alias de script</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Le confinement des CGI dans des r�pertoires sp�cifiques permet �
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe l'administrateur de contr�ler ce que l'on met dans ces r�pertoires. Ceci
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe est bien entendu mieux s�curis� que les CGI sans alias de script, mais
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe seulement � condition que les utilisateurs avec les droits en �criture sur
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe les r�pertoires soient dignes de confiance, et que l'administrateur ait la
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe volont� de tester chaque programme ou script CGI � la recherche d'�ventuels
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe trous de s�curit�.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>La plupart des sites choisissent cette approche au d�triment des CGI
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe sans alias de script.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="section">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="dynamic" id="dynamic">Autres sources de contenu dynamique</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Les options de scripting int�gr�es qui s'ex�cutent en tant que partie du
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe serveur lui-m�me, comme <code>mod_php</code>, <code>mod_perl</code>,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code>mod_tcl</code>, et <code>mod_python</code>,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe s'ex�cutent sous le m�me utilisateur que le serveur (voir la directive
b71e5eae594d54e9e56dc20208c6a7fb52610e29rbowen <code class="directive"><a href="/mod/mod_unixd.html#user">User</a></code>), et par cons�quent,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe les scripts que ces moteurs ex�cutent peuvent acc�der aux m�mes ressources
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe que le serveur. Certains moteurs de scripting peuvent proposer des
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe restrictions, mais pour plus de s�ret�, il vaut mieux partir du principe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe que ce n'est pas le cas.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="section">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="systemsettings" id="systemsettings">Protection de la configuration du syst�me</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Pour contr�ler �troitement votre serveur, vous pouvez interdire
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe l'utilisation des fichiers <code>.htaccess</code> qui permettent de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe passer outre les fonctionnalit�s de s�curit� que vous avez configur�es.
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Voici un moyen pour y parvenir :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Ajoutez dans le fichier de configuration du serveur</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh <pre class="prettyprint lang-config">
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh&lt;Directory /&gt;
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh AllowOverride None
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh&lt;/Directory&gt;
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh </pre>
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Ceci interdit l'utilisation des fichiers <code>.htaccess</code> dans
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe tous les r�pertoires, sauf ceux pour lesquels c'est explicitement
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe autoris�.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="section">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="protectserverfiles" id="protectserverfiles">Protection par d�faut des fichiers du serveur</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Le concept d'acc�s par d�faut est un aspect d'Apache qui est parfois mal
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe compris. C'est � dire que, � moins que vous ne changiez explicitement ce
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe comportement, si le serveur trouve son chemin vers un fichier en suivant
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe les r�gles normales de correspondance URL - fichier, il peut le retourner
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe aux clients.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Consid�rons l'exemple suivant :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <div class="example"><p><code>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe # cd /; ln -s / public_html <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe puis acc�s � <code>http://localhost/~root/</code>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </code></p></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Ceci permettrait aux clients de parcourir l'ensemble du syst�me de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichiers. Pour l'�viter, ajoutez le bloc suivant � la configuration
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe de votre serveur :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh <pre class="prettyprint lang-config">
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh&lt;Directory /&gt;
d3b5365c21f7549e0b3d3283ad027b04975f0519humbedooh Require all denied
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh&lt;/Directory&gt;
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh </pre>
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>ceci va interdire l'acc�s par d�faut � tous les fichiers du syst�me de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichiers. Vous devrez ensuite ajouter les blocs
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#directory">Directory</a></code> appropri�s correspondant
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe aux r�pertoires auxquels vous voulez autorisez l'acc�s. Par exemple,</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh <pre class="prettyprint lang-config">
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh&lt;Directory /usr/users/*/public_html&gt;
d3b5365c21f7549e0b3d3283ad027b04975f0519humbedooh Require all granted
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh&lt;/Directory&gt;
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh&lt;Directory /usr/local/httpd&gt;
d3b5365c21f7549e0b3d3283ad027b04975f0519humbedooh Require all granted
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh&lt;/Directory&gt;
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh </pre>
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Portez une attention particuli�re aux interactions entre les directives
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#location">Location</a></code> et
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#directory">Directory</a></code> ; par exemple, si une
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe directive <code>&lt;Directory /&gt;</code> interdit un acc�s, une
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe directive <code>&lt;Location /&gt;</code> pourra passer outre.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>De m�me, soyez m�fiant en jouant avec la directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/mod_userdir.html#userdir">UserDir</a></code> ; la positionner �
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code>"./"</code> aurait le m�me effet, pour root, que le premier exemple plus haut.
2d39a41e98476f5235b7c37ce745a4aa0904b1cbrbowen Nous vous conseillons
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fortement d'inclure la ligne suivante dans le fichier de configuration de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe votre serveur :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh <pre class="prettyprint lang-config">UserDir disabled root</pre>
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="section">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="watchyourlogs" id="watchyourlogs">Surveillez vos journaux</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Pour vous tenir inform� de ce qui se passe r�ellement dans votre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe serveur, vous devez consulter vos
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <a href="/logs.html">fichiers journaux</a>. M�me si les fichiers journaux
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe ne consignent que des �v�nements qui se sont d�j� produits, ils vous
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe informeront sur la nature des attaques qui sont lanc�es contre le serveur
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe et vous permettront de v�rifier si le niveau de s�curit� n�cessaire est
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe atteint.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Quelques exemples :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <div class="example"><p><code>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe grep -c "/jsp/source.jsp?/jsp/ /jsp/source.jsp??" access_log <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe grep "client denied" error_log | tail -n 10
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </code></p></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Le premier exemple listera les attaques essayant d'exploiter la
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <a href="http://online.securityfocus.com/bid/4876/info/">vuln�rabilit�
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe d'Apache Tomcat pouvant provoquer la divulgation d'informations par des
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe requ�tes Source.JSP mal form�es</a>, le second donnera la liste des dix
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe derni�res interdictions client ; par exemple :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <div class="example"><p><code>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe [Thu Jul 11 17:18:39 2002] [error] [client foo.example.com] client denied
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe by server configuration: /usr/local/apache/htdocs/.htpasswd
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </code></p></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Comme vous le voyez, les fichiers journaux ne consignent que ce qui
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe s'est d�j� produit ; ainsi, si le client a pu acc�der au fichier
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code>.htpasswd</code>, vous devriez avoir quelque chose du style :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <div class="example"><p><code>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe foo.example.com - - [12/Jul/2002:01:59:13 +0200] "GET /.htpasswd HTTP/1.1"
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </code></p></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>dans votre <a href="/logs.html#accesslog">journal des acc�s</a> ; ce
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe qui signifie que vous avez probablement mis en commentaire ce qui suit dans
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe le fichier de configuration de votre serveur :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh <pre class="prettyprint lang-config">
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh&lt;Files ".ht*"&gt;
d3b5365c21f7549e0b3d3283ad027b04975f0519humbedooh Require all denied
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh&lt;/Files&gt;
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh </pre>
c32f362cdcca385130706c801328eb8fbb25b9fehumbedooh
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf<div class="section">
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf<h2><a name="merging" id="merging">Fusion des sections de configuration</a></h2>
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf <p>La fusion des sections de configuration est complexe et d�pend
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf souvent des directives utilis�es. Vous devez syst�matiquement tester
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf vos modifications pour v�rifier la mani�re dont les directives sont
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf fusionn�es.</p>
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf <p>Concernant les modules qui n'impl�mentent aucune logique de
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf fusion, comme <code class="directive">mod_access_compat</code>, le
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf comportement des sections suivantes est tributaire de la pr�sence
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf dans ces derni�res de directives appartenant � ces modules. La
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf configuration est h�rit�e jusqu'� ce qu'une modification soit
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf effectu�e ; � ce moment, la configuration est <em>remplac�e</em> et
cae0359c9286c8e34cbccd15eee2da90562c1ee2sf non fusionn�e.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="bottomlang">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<p><span>Langues Disponibles: </span><a href="/en/misc/security_tips.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<a href="/fr/misc/security_tips.html" title="Fran�ais">&nbsp;fr&nbsp;</a> |
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<a href="/ko/misc/security_tips.html" hreflang="ko" rel="alternate" title="Korean">&nbsp;ko&nbsp;</a> |
f086b4b402fa9a2fefc7dda85de2a3cc1cd0a654rjung<a href="/tr/misc/security_tips.html" hreflang="tr" rel="alternate" title="T�rk�e">&nbsp;tr&nbsp;</a></p>
727872d18412fc021f03969b8641810d8896820bhumbedooh</div><div class="top"><a href="#page-header"><img src="/images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&amp;A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>
0d0ba3a410038e179b695446bb149cce6264e0abnd<script type="text/javascript"><!--//--><![CDATA[//><!--
727872d18412fc021f03969b8641810d8896820bhumbedoohvar comments_shortname = 'httpd';
cc7e1025de9ac63bd4db6fe7f71c158b2cf09fe4humbedoohvar comments_identifier = 'http://httpd.apache.org/docs/trunk/misc/security_tips.html';
0d0ba3a410038e179b695446bb149cce6264e0abnd(function(w, d) {
cc7e1025de9ac63bd4db6fe7f71c158b2cf09fe4humbedooh if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
727872d18412fc021f03969b8641810d8896820bhumbedooh d.write('<div id="comments_thread"><\/div>');
0d0ba3a410038e179b695446bb149cce6264e0abnd var s = d.createElement('script');
0d0ba3a410038e179b695446bb149cce6264e0abnd s.type = 'text/javascript';
0d0ba3a410038e179b695446bb149cce6264e0abnd s.async = true;
ac082aefa89416cbdc9a1836eaf3bed9698201c8humbedooh s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
0d0ba3a410038e179b695446bb149cce6264e0abnd (d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
0d0ba3a410038e179b695446bb149cce6264e0abnd }
0d0ba3a410038e179b695446bb149cce6264e0abnd else {
727872d18412fc021f03969b8641810d8896820bhumbedooh d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
0d0ba3a410038e179b695446bb149cce6264e0abnd }
0d0ba3a410038e179b695446bb149cce6264e0abnd})(window, document);
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh//--><!]]></script></div><div id="footer">
07dc96d063d49299da433f84b5c5681da9bbdf68rbowen<p class="apache">Copyright 2014 The Apache Software Foundation.<br />Autoris� sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
af33a4994ae2ff15bc67d19ff1a7feb906745bf8rbowen<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
0d0ba3a410038e179b695446bb149cce6264e0abndif (typeof(prettyPrint) !== 'undefined') {
7fec19672a491661b2fe4b29f685bc7f4efa64d4nd prettyPrint();
7fec19672a491661b2fe4b29f685bc7f4efa64d4nd}
7fec19672a491661b2fe4b29f685bc7f4efa64d4nd//--><!]]></script>
5e740829c3448285963d3882530669f0112cf690gryzor</body></html>