security_tips.html.fr revision b7f8d802ecaed65eada1fc31472d06d8460d5528
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head><!--
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe This file is generated from xml source: DO NOT EDIT
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<title>Conseils sur la s�curit� - Serveur Apache HTTP</title>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<link href="/style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<link href="/style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<link href="/style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<link href="/images/favicon.ico" rel="shortcut icon" /></head>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/directives.html">Directives</a> | <a href="/faq/">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="up"><a href="./"><img title="<-" alt="<-" src="/images/left.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Serveur HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentation</a> > <a href="../">Version 2.3</a> > <a href="./">Documentations diverses</a></div><div id="page-content"><div id="preamble"><h1>Conseils sur la s�curit�</h1>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<p><span>Langues Disponibles: </span><a href="/en/misc/security_tips.html" hreflang="en" rel="alternate" title="English"> en </a> |
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<a href="/fr/misc/security_tips.html" title="Fran�ais"> fr </a> |
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<a href="/ko/misc/security_tips.html" hreflang="ko" rel="alternate" title="Korean"> ko </a> |
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<a href="/tr/misc/security_tips.html" hreflang="tr" rel="alternate" title="T�rk�e"> tr </a></p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Ce document propose quelques conseils et astuces concernant les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe probl�mes de s�curit� li�s
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe � l'installation d'un serveur web. Certaines suggestions seront � caract�re
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe g�n�ral, tandis que d'autres seront sp�cifiques � Apache.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div id="quickview"><ul id="toc"><li><img alt="" src="/images/down.gif" /> <a href="#uptodate">Maintenez votre serveur � jour</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#dos">Attaques de type "D�ni de service"
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#serverroot">Permissions sur les r�pertoires de la racine du serveur</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#ssi">Inclusions c�t� serveur</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#cgi">Les CGI en g�n�ral</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#nsaliasedcgi">CGI sans alias de script</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#saliasedcgi">CGI avec alias de script</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#dynamic">Autres sources de contenu dynamique</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#systemsettings">Protection de la configuration du syst�me</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#protectserverfiles">Protection par d�faut des fichiers du serveur</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<li><img alt="" src="/images/down.gif" /> <a href="#watchyourlogs">Surveillez vos journaux</a></li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="uptodate" id="uptodate">Maintenez votre serveur � jour</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Le serveur HTTP Apache a une bonne r�putation en mati�re de s�curit�
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe et poss�de une communaut� de d�veloppeurs tr�s sensibilis�s aux probl�mes
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe de s�curit�. Mais il est in�vitable de trouver certains probl�mes
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe -- petits ou grands -- une fois le logiciel mis � disposition. C'est pour
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe cette raison qu'il est crucial de se tenir inform� des mises � jour. Si
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe vous avez obtenu votre version du serveur HTTP directement depuis Apache,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe nous vous conseillons grandement de vous abonner � la <a href="http://httpd.apache.org/lists.html#http-announce">Liste de diffusion
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe des annonces du serveur HTTP</a> qui vous informera de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe la parution des nouvelles versions et des mises � jour de s�curit�. La
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe plupart des distributeurs tiers d'Apache fournissent des services
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe similaires.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Gardez cependant � l'esprit que lorsqu'un serveur web est compromis, le
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe code du serveur HTTP n'est la plupart du temps pas en cause. Les probl�mes
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe proviennent plut�t de code ajout�, de scripts CGI, ou du syst�me
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe d'exploitation sous-jacent. Vous devez donc vous tenir inform� des
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe probl�mes et mises � jour concernant tous les logiciels pr�sents sur
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe votre syst�me.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="dos" id="dos">Attaques de type "D�ni de service"
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Tous les services r�seau peuvent faire l'objet d'attaques de type
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe "D�ni de service" qui tentent de les emp�cher de r�pondre aux clients en
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe saturant leurs ressources. Il est impossible de se pr�munir totalement
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe contre ce type d'attaques, mais vous pouvez accomplir certaines actions
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe afin de minimiser les probl�mes qu'elles cr�ent.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Souvent, l'outil anti-DoS le plus efficace sera constitu� par le
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe pare-feu ou certaines configurations du syst�me d'exploitation. Par
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe exemple, la plupart des pare-feu peuvent �tre configur�s de fa�on �
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe limiter le nombre de connexions simultan�es depuis une adresse IP ou un
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe r�seau, ce qui permet de pr�venir toute une gamme d'attaques simples.
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Bien s�r, ceci n'est d'aucun secours contre les attaques de type
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe "D�ni de service" distribu�es (DDoS).</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Certains r�glages de la configuration d'Apache peuvent aussi
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe minimiser les probl�mes :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>La valeur de la directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#timeout">TimeOut</a></code> doit �tre diminu�e sur les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe sites sujets aux attaques DoS. Une valeur de quelques secondes devrait
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe convenir. Cependant, comme <code class="directive"><a href="/mod/core.html#timeout">TimeOut</a></code>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe est actuellement concern� par de nombreuses op�rations diff�rentes, lui
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe attribuer une valeur trop faible peut provoquer des probl�mes avec les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe scripts CGI qui pr�sentent un long temps de r�ponse.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>La valeur de la directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#keepalivetimeout">KeepAliveTimeout</a></code> doit aussi �tre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe diminu�e sur les sites sujets aux attaques DoS. Certains sites
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe d�sactivent m�me compl�tement le "maintien en vie" (keepalives)
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe � l'aide de la directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#keepalive">KeepAlive</a></code>, ce qui bien s�r
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe pr�sente des inconv�nients en mati�re de performances.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Les valeurs des diff�rentes directives fournies par d'autres modules
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe et en rapport avec des d�lais doivent aussi �tre v�rifi�es.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Les directives
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#limitrequestbody">LimitRequestBody</a></code>,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#limitrequestfields">LimitRequestFields</a></code>,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#limitrequestfieldsize">LimitRequestFieldSize</a></code>,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#limitrequestline">LimitRequestLine</a></code>, et
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#limitxmlrequestbody">LimitXMLRequestBody</a></code> doivent �tre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe configur�es avec prudence afin de limiter la consommation de ressources
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe induite par les demandes des clients.
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Sur les syst�mes d'exploitation qui le supportent, assurez-vous que
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe la directive <code class="directive"><a href="/mod/core.html#acceptfilter">AcceptFilter</a></code> est
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe activ�e afin de d�l�guer une partie du traitement des requ�tes au
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe syst�me d'exploitation. Elle est activ�e par d�faut dans le d�mon httpd
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe d'Apache, mais peut n�cessiter une reconfiguration de votre noyau.</li>
b7f8d802ecaed65eada1fc31472d06d8460d5528igalic <li>Optimisez la directive <code class="directive"><a href="/mod/mpm_common.html#maxrequestworkers">MaxRequestWorkers</a></code> de fa�on � d�finir le nombre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe maximum de connexions simultan�es au dessus duquel les ressources
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe s'�puisent. Voir aussi la <a href="perf-tuning.html">documentation sur l'optimisation des
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>L'utilisation d'un <a href="/mpm.html">module mpm</a> thread�
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe vous permet de traiter d'avantage de connexions simultan�es, ce qui
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe minimise l'effet des attaques DoS. Dans le futur, le module mpm exp�rimental
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="module"><a href="/mod/event.html">event</a></code> utilisera un traitement asynchrone afin de ne pas
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe d�dier un thread � chaque connexion. Il est en cours d'�tude �
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe l'heure actuelle et n'est pas encore enti�rement impl�ment�. En
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe particulier, le mpm <code class="module"><a href="/mod/event.html">event</a></code> est actuellement incompatible
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe avec le module <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> ainsi que d'autres filtres
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe en entr�e.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Il existe de nombreux modules tiers disponibles � <a href="http://modules.apache.org/">http://modules.apache.org/</a> qui
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe peuvent retreindre les comportements de certains clients et ainsi
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe minimiser les probl�mes de DoS.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="serverroot" id="serverroot">Permissions sur les r�pertoires de la racine du serveur</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Typiquement, Apache est d�marr� par l'utilisateur root, puis il devient
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe la propri�t� de l'utilisateur d�fini par la directive <code class="directive"><a href="/mod/mpm_common.html#user">User</a></code> afin de r�pondre aux demandes. Comme
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe pour toutes les commandes ex�cut�es par root, vous devez vous assurer
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe qu'elle n'est pas modifiable par les utilisateurs autres que root. Les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichiers eux-m�mes, mais aussi les r�pertoires ainsi que leurs parents ne
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe doivent �tre modifiables que par root. Par exemple, si vous avez choisi de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe placer la racine du serveur dans <code>/usr/local/apache</code>, il est conseill� de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe cr�er le r�pertoire en tant que root, avec des commandes du style :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe mkdir bin conf logs <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe chown 0 . bin conf logs <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe chgrp 0 . bin conf logs <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe chmod 755 . bin conf logs
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Nous supposerons que <code>/</code>, <code>/usr</code> et
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe root. Quand vous installez l'ex�cutable <code class="program"><a href="/programs/httpd.html">httpd</a></code>, vous
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe devez vous assurer qu'il poss�de des protections similaires :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Vous pouvez cr�er un sous-r�pertoire htdocs modifiable par d'autres
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe utilisateurs -- car root ne cr�e ni ex�cute aucun fichier dans ce
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe sous-r�pertoire.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Si vous permettez � des utilisateurs non root de modifier des fichiers
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe que root �crit ou ex�cute, vous exposez votre syst�me � une compromission
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe de l'utilisateur root. Par exemple, quelqu'un pourrait remplacer le binaire
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="program"><a href="/programs/httpd.html">httpd</a></code> de fa�on � ce que la prochaine fois que vous le
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe red�marrerez, il ex�cutera un code arbitraire. Si le r�pertoire des
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe journaux a les droits en �criture (pour un utilisateur non root), quelqu'un
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe pourrait remplacer un fichier journal par un lien symbolique vers un autre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichier syst�me, et root pourrait alors �craser ce fichier avec des donn�es
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe arbitraires. Si les fichiers journaux eux-m�mes ont des droits en
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe �criture (pour un utilisateur non root), quelqu'un pourrait
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe modifier les journaux eux-m�mes avec des donn�es fausses.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="ssi" id="ssi">Inclusions c�t� serveur</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Les inclusions c�t� serveur (Server Side Includes - SSI) exposent
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe l'administrateur du serveur � de nombreux risques potentiels en mati�re de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe s�curit�.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Le premier risque est l'augmentation de la charge du serveur. Tous les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichiers o� SSI est activ� doivent �tre analys�s par Apache, qu'ils
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe contiennent des directives SSI ou non. L'augmentation de la charge induite
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe est minime, mais peut devenir significative dans le contexte d'un
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe serveur partag�.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Les fichiers SSI pr�sentent les m�mes risques que les scripts CGI en
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe g�n�ral. Les fichiers o� SSI est activ� peuvent ex�cuter tout script CGI
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe ou autre programme � l'aide de la commande <code>"exec cmd"</code> avec les permissions
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe des utilisateur et groupe sous lesquels Apache s'ex�cute, comme d�fini
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Des m�thodes existent pour am�liorer la s�curit� des fichiers SSI, tout
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe en tirant parti des b�n�fices qu'ils apportent.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Pour limiter les dommages qu'un fichier SSI agressif pourrait causer,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe l'administrateur du serveur peut activer<a href="/suexec.html">suexec</a>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe comme d�crit dans la section <a href="#cgi">Les CGI en g�n�ral</a>.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>L'activation des SSI pour des fichiers poss�dant des extensions
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code>.htm</code> peut s'av�rer dangereux. Ceci est particuli�rement vrai dans un
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe environnement de serveur partag� ou �tant le si�ge d'un traffic �lev�. Les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichiers o� SSI est activ� doivent poss�der une extension sp�cifique, telle
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe que la conventionnelle <code>.shtml</code>. Ceci permet de limiter la charge du serveur
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe � un niveau minimum et de simplifier la gestion des risques.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Une autre solution consiste � interdire l'ex�cution de scripts et
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe programmes � partir de pages SSI. Pour ce faire, remplacez
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code>Includes</code> par <code>IncludesNOEXEC</code> dans la directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#options">Options</a></code>. Notez que les utilisateurs
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe pourront encore utiliser <code><--#include virtual="..." --></code> pour ex�cuter
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe des scripts CGI si ces scripts sont situ�s dans des r�pertoires sp�cifi�s
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe par une directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/mod_alias.html#scriptalias">ScriptAlias</a></code>.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Tout d'abord, vous devez toujours garder � l'esprit que vous devez
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe faire confiance aux d�veloppeurs de scripts ou programmes CGI ainsi qu'�
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe vos comp�tences pour d�celer les trous de s�curit� potentiels dans les
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe CGI, que ceux-ci soient d�lib�r�s ou accidentels. Les scripts CGI peuvent
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe essentiellement ex�cuter des commandes arbitraires sur votre syst�me avec
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe les droits de l'utilisateur du serveur web, et peuvent par cons�quent �tre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe extr�mement dangereux s'ils ne sont pas v�rifi�s avec soin.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Tous les scripts CGI s'ex�cutent sous le m�me utilisateur, il peuvent
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe donc entrer en conflit (accidentellement ou d�lib�r�ment) avec d'autres
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe scripts. Par exemple, l'utilisateur A hait l'utilisateur B, il �crit donc
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe un script qui efface la base de donn�es CGI de l'utilisateur B. Vous pouvez
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe utiliser le programme <a href="/suexec.html">suEXEC</a> pour faire en
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe sorte que les scripts s'ex�cutent sous des utilisateurs diff�rents. Ce
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe programme est inclus dans la distribution d'Apache depuis la version 1.2
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe et est appel� � partir de certaines portions de code du serveur Apache. Une
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe autre m�thode plus connue est l'utilisation de
c88339df8ff949443da567d5fdf6fa0f31bd5efdjim <a href="http://cgiwrap.sourceforge.net/">CGIWrap</a>.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="nsaliasedcgi" id="nsaliasedcgi">CGI sans alias de script</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Vous ne devez permettre aux utilisateurs d'ex�cuter des scripts CGI
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe depuis n'importe quel r�pertoire que dans l'�ventualit� o� :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Vous faites confiance � vos utilisateurs pour ne pas �crire de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe scripts qui vont d�lib�r�ment ou accidentellement exposer votre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe syst�me � une attaque.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Vous estimez que le niveau de s�curit� dans les autres parties de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe votre site est si faible qu'un trou de s�curit� de plus ou de moins
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe n'est pas tr�s important.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <li>Votre syst�me ne comporte aucun utilisateur, et personne ne visite
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe jamais votre site.</li>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="saliasedcgi" id="saliasedcgi">CGI avec alias de script</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Le confinement des CGI dans des r�pertoires sp�cifiques permet �
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe l'administrateur de contr�ler ce que l'on met dans ces r�pertoires. Ceci
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe est bien entendu mieux s�curis� que les CGI sans alias de script, mais
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe seulement � condition que les utilisateurs avec les droits en �criture sur
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe les r�pertoires soient dignes de confiance, et que l'administrateur ait la
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe volont� de tester chaque programme ou script CGI � la recherche d'�ventuels
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe trous de s�curit�.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>La plupart des sites choisissent cette approche au d�triment des CGI
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe sans alias de script.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="dynamic" id="dynamic">Autres sources de contenu dynamique</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Les options de scripting int�gr�es qui s'ex�cutent en tant que partie du
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe serveur lui-m�me, comme <code>mod_php</code>, <code>mod_perl</code>,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe s'ex�cutent sous le m�me utilisateur que le serveur (voir la directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/mpm_common.html#user">User</a></code>), et par cons�quent,
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe les scripts que ces moteurs ex�cutent peuvent acc�der aux m�mes ressources
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe que le serveur. Certains moteurs de scripting peuvent proposer des
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe restrictions, mais pour plus de s�ret�, il vaut mieux partir du principe
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe que ce n'est pas le cas.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="systemsettings" id="systemsettings">Protection de la configuration du syst�me</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Pour contr�ler �troitement votre serveur, vous pouvez interdire
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe l'utilisation des fichiers <code>.htaccess</code> qui permettent de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe passer outre les fonctionnalit�s de s�curit� que vous avez configur�es.
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Voici un moyen pour y parvenir :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Ajoutez dans le fichier de configuration du serveur</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <Directory /> <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe AllowOverride None <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </Directory>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Ceci interdit l'utilisation des fichiers <code>.htaccess</code> dans
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe tous les r�pertoires, sauf ceux pour lesquels c'est explicitement
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe autoris�.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="protectserverfiles" id="protectserverfiles">Protection par d�faut des fichiers du serveur</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Le concept d'acc�s par d�faut est un aspect d'Apache qui est parfois mal
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe compris. C'est � dire que, � moins que vous ne changiez explicitement ce
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe comportement, si le serveur trouve son chemin vers un fichier en suivant
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe les r�gles normales de correspondance URL - fichier, il peut le retourner
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe aux clients.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe # cd /; ln -s / public_html <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Ceci permettrait aux clients de parcourir l'ensemble du syst�me de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichiers. Pour l'�viter, ajoutez le bloc suivant � la configuration
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe de votre serveur :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <Directory /> <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Order Deny,Allow <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Deny from all <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </Directory>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>ceci va interdire l'acc�s par d�faut � tous les fichiers du syst�me de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fichiers. Vous devrez ensuite ajouter les blocs
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#directory">Directory</a></code> appropri�s correspondant
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe aux r�pertoires auxquels vous voulez autorisez l'acc�s. Par exemple,</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Order Deny,Allow <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Allow from all <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </Directory> <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Order Deny,Allow <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Allow from all <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </Directory>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Portez une attention particuli�re aux interactions entre les directives
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#location">Location</a></code> et
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/core.html#directory">Directory</a></code> ; par exemple, si une
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe directive <code><Directory /></code> interdit un acc�s, une
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe directive <code><Location /></code> pourra passer outre.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>De m�me, soyez m�fiant en jouant avec la directive
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code class="directive"><a href="/mod/mod_userdir.html#userdir">UserDir</a></code> ; la positionner �
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code>"./"</code> aurait le m�me effet, pour root, que le premier exemple plus haut.
2d39a41e98476f5235b7c37ce745a4aa0904b1cbrbowen Nous vous conseillons
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe fortement d'inclure la ligne suivante dans le fichier de configuration de
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe votre serveur :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe UserDir disabled root
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<h2><a name="watchyourlogs" id="watchyourlogs">Surveillez vos journaux</a></h2>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Pour vous tenir inform� de ce qui se passe r�ellement dans votre
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe serveur, vous devez consulter vos
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <a href="/logs.html">fichiers journaux</a>. M�me si les fichiers journaux
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe ne consignent que des �v�nements qui se sont d�j� produits, ils vous
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe informeront sur la nature des attaques qui sont lanc�es contre le serveur
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe et vous permettront de v�rifier si le niveau de s�curit� n�cessaire est
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe atteint.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe grep -c "/jsp/source.jsp?/jsp/ /jsp/source.jsp??" access_log <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe grep "client denied" error_log | tail -n 10
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Le premier exemple listera les attaques essayant d'exploiter la
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <a href="http://online.securityfocus.com/bid/4876/info/">vuln�rabilit�
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe d'Apache Tomcat pouvant provoquer la divulgation d'informations par des
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe requ�tes Source.JSP mal form�es</a>, le second donnera la liste des dix
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe derni�res interdictions client ; par exemple :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe [Thu Jul 11 17:18:39 2002] [error] [client foo.example.com] client denied
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe by server configuration: /usr/local/apache/htdocs/.htpasswd
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>Comme vous le voyez, les fichiers journaux ne consignent que ce qui
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe s'est d�j� produit ; ainsi, si le client a pu acc�der au fichier
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <code>.htpasswd</code>, vous devriez avoir quelque chose du style :</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe foo.example.com - - [12/Jul/2002:01:59:13 +0200] "GET /.htpasswd HTTP/1.1"
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe <p>dans votre <a href="/logs.html#accesslog">journal des acc�s</a> ; ce
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe qui signifie que vous avez probablement mis en commentaire ce qui suit dans
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe le fichier de configuration de votre serveur :</p>
d972e4a0688f66b1402473dd9dacfecefa2132a8rbowen <Files ".ht*"> <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Order allow,deny <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe Deny from all <br />
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe </Files>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<p><span>Langues Disponibles: </span><a href="/en/misc/security_tips.html" hreflang="en" rel="alternate" title="English"> en </a> |
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<a href="/fr/misc/security_tips.html" title="Fran�ais"> fr </a> |
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<a href="/ko/misc/security_tips.html" hreflang="ko" rel="alternate" title="Korean"> ko </a> |
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<a href="/tr/misc/security_tips.html" hreflang="tr" rel="alternate" title="T�rk�e"> tr </a></p>
9c1260efa52c82c2a58e5b5f20cd6902563d95f5rbowen<p class="apache">Copyright 2011 The Apache Software Foundation.<br />Autoris� sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
fc32fe886201ffcf1ca557bdf7d34a7468ab3374wrowe<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/directives.html">Directives</a> | <a href="/faq/">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p></div>