manual/misc/security_tips.html.fr

	security_tips.html.fr revision ba543b319188dc1887607f6d59feddc00e38eee2
e32aae131dd649a62f9850f80bd6a313f9fb7c50nd<?xml version="1.0" encoding="ISO-8859-1"?>
e32aae131dd649a62f9850f80bd6a313f9fb7c50nd<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
e32aae131dd649a62f9850f80bd6a313f9fb7c50nd<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head><!--
e32aae131dd649a62f9850f80bd6a313f9fb7c50nd        XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
e32aae131dd649a62f9850f80bd6a313f9fb7c50nd              This file is generated from xml source: DO NOT EDIT
e32aae131dd649a62f9850f80bd6a313f9fb7c50nd        XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
e32aae131dd649a62f9850f80bd6a313f9fb7c50nd      -->
acc36ab93565d2880447d535da6ca6e5feac7a70nd<title>Conseils sur la s�curit� - Serveur Apache HTTP</title>
7add1372edb1ee95a2c4d1314df4c7567bda7c62jim<link href="/style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
7add1372edb1ee95a2c4d1314df4c7567bda7c62jim<link href="/style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
d29d9ab4614ff992b0e8de6e2b88d52b6f1f153erbowen<link href="/style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="/style/css/prettify.css" />
d29d9ab4614ff992b0e8de6e2b88d52b6f1f153erbowen<script src="/style/scripts/prettify.js" type="text/javascript">
d29d9ab4614ff992b0e8de6e2b88d52b6f1f153erbowen</script>
d29d9ab4614ff992b0e8de6e2b88d52b6f1f153erbowen
7add1372edb1ee95a2c4d1314df4c7567bda7c62jim<link href="/images/favicon.ico" rel="shortcut icon" /></head>
e32aae131dd649a62f9850f80bd6a313f9fb7c50nd<body id="manual-page"><div id="page-header">
d229f940abfb2490dee17979e9a5ff31b7012eb5rbowen<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p>
3f08db06526d6901aa08c110b5bc7dde6bc39905nd<p class="apache">Serveur Apache HTTP Version 2.5</p>
7add1372edb1ee95a2c4d1314df4c7567bda7c62jim<img alt="" src="/images/feather.gif" /></div>
7add1372edb1ee95a2c4d1314df4c7567bda7c62jim<div class="up"><a href="./"><img title="&lt;-" alt="&lt;-" src="/images/left.gif" /></a></div>
e32aae131dd649a62f9850f80bd6a313f9fb7c50nd<div id="path">
3f08db06526d6901aa08c110b5bc7dde6bc39905nd<a href="http://www.apache.org/">Apache</a> &gt; <a href="http://httpd.apache.org/">Serveur HTTP</a> &gt; <a href="http://httpd.apache.org/docs/">Documentation</a> &gt; <a href="../">Version 2.5</a> &gt; <a href="./">Documentations diverses</a></div><div id="page-content"><div id="preamble"><h1>Conseils sur la s�curit�</h1>
3b3b7fc78d1f5bfc2769903375050048ff41ff26nd<div class="toplang">
f086b4b402fa9a2fefc7dda85de2a3cc1cd0a654rjung<p><span>Langues Disponibles: </span><a href="/en/misc/security_tips.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
3b3b7fc78d1f5bfc2769903375050048ff41ff26nd<a href="/fr/misc/security_tips.html" title="Fran�ais">&nbsp;fr&nbsp;</a> |
3b3b7fc78d1f5bfc2769903375050048ff41ff26nd<a href="/ko/misc/security_tips.html" hreflang="ko" rel="alternate" title="Korean">&nbsp;ko&nbsp;</a> |
acc36ab93565d2880447d535da6ca6e5feac7a70nd<a href="/tr/misc/security_tips.html" hreflang="tr" rel="alternate" title="T�rk�e">&nbsp;tr&nbsp;</a></p>
acc36ab93565d2880447d535da6ca6e5feac7a70nd</div>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<div class="outofdate">Cette traduction peut �tre p�rim�e. V�rifiez la version
acc36ab93565d2880447d535da6ca6e5feac7a70nd            anglaise pour les changements r�cents.</div>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <p>Ce document propose quelques conseils et astuces concernant les
acc36ab93565d2880447d535da6ca6e5feac7a70nd    probl�mes de s�curit� li�s
acc36ab93565d2880447d535da6ca6e5feac7a70nd    � l'installation d'un serveur web. Certaines suggestions seront � caract�re
acc36ab93565d2880447d535da6ca6e5feac7a70nd    g�n�ral, tandis que d'autres seront sp�cifiques � Apache.</p>
acc36ab93565d2880447d535da6ca6e5feac7a70nd  </div>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<div id="quickview"><ul id="toc"><li><img alt="" src="/images/down.gif" /> <a href="#uptodate">Maintenez votre serveur � jour</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<li><img alt="" src="/images/down.gif" /> <a href="#dos">Attaques de type "D�ni de service"
acc36ab93565d2880447d535da6ca6e5feac7a70nd    (Denial of Service - DoS)</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<li><img alt="" src="/images/down.gif" /> <a href="#serverroot">Permissions sur les r�pertoires de la racine du serveur</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<li><img alt="" src="/images/down.gif" /> <a href="#ssi">Inclusions c�t� serveur</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<li><img alt="" src="/images/down.gif" /> <a href="#cgi">Les CGI en g�n�ral</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<li><img alt="" src="/images/down.gif" /> <a href="#nsaliasedcgi">CGI sans alias de script</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<li><img alt="" src="/images/down.gif" /> <a href="#saliasedcgi">CGI avec alias de script</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<li><img alt="" src="/images/down.gif" /> <a href="#dynamic">Autres sources de contenu dynamique</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<li><img alt="" src="/images/down.gif" /> <a href="#systemsettings">Protection de la configuration du syst�me</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<li><img alt="" src="/images/down.gif" /> <a href="#protectserverfiles">Protection par d�faut des fichiers du serveur</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<li><img alt="" src="/images/down.gif" /> <a href="#watchyourlogs">Surveillez vos journaux</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<li><img alt="" src="/images/down.gif" /> <a href="#merging">Fusion des sections de configuration</a></li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd</ul><ul class="seealso"><li><a href="#comments_section">Commentaires</a></li></ul></div>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<div class="section">
acc36ab93565d2880447d535da6ca6e5feac7a70nd<h2><a name="uptodate" id="uptodate">Maintenez votre serveur � jour</a></h2>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <p>Le serveur HTTP Apache a une bonne r�putation en mati�re de s�curit�
acc36ab93565d2880447d535da6ca6e5feac7a70nd    et poss�de une communaut� de d�veloppeurs tr�s sensibilis�s aux probl�mes
acc36ab93565d2880447d535da6ca6e5feac7a70nd    de s�curit�. Mais il est in�vitable de trouver certains probl�mes
acc36ab93565d2880447d535da6ca6e5feac7a70nd    -- petits ou grands -- une fois le logiciel mis � disposition. C'est pour
acc36ab93565d2880447d535da6ca6e5feac7a70nd    cette raison qu'il est crucial de se tenir inform� des mises � jour. Si
acc36ab93565d2880447d535da6ca6e5feac7a70nd    vous avez obtenu votre version du serveur HTTP directement depuis Apache,
acc36ab93565d2880447d535da6ca6e5feac7a70nd    nous vous conseillons grandement de vous abonner � la <a href="http://httpd.apache.org/lists.html#http-announce">Liste de diffusion
acc36ab93565d2880447d535da6ca6e5feac7a70nd    des annonces du serveur HTTP</a> qui vous informera de
acc36ab93565d2880447d535da6ca6e5feac7a70nd    la parution des nouvelles versions et des mises � jour de s�curit�. La
acc36ab93565d2880447d535da6ca6e5feac7a70nd    plupart des distributeurs tiers d'Apache fournissent des services
acc36ab93565d2880447d535da6ca6e5feac7a70nd    similaires.</p>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <p>Gardez cependant � l'esprit que lorsqu'un serveur web est compromis, le
acc36ab93565d2880447d535da6ca6e5feac7a70nd    code du serveur HTTP n'est la plupart du temps pas en cause. Les probl�mes
acc36ab93565d2880447d535da6ca6e5feac7a70nd    proviennent plut�t de code ajout�, de scripts CGI, ou du syst�me
acc36ab93565d2880447d535da6ca6e5feac7a70nd    d'exploitation sous-jacent. Vous devez donc vous tenir inform� des
acc36ab93565d2880447d535da6ca6e5feac7a70nd    probl�mes et mises � jour concernant tous les logiciels pr�sents sur
acc36ab93565d2880447d535da6ca6e5feac7a70nd    votre syst�me.</p>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd  </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<div class="section">
acc36ab93565d2880447d535da6ca6e5feac7a70nd<h2><a name="dos" id="dos">Attaques de type "D�ni de service"
acc36ab93565d2880447d535da6ca6e5feac7a70nd    (Denial of Service - DoS)</a></h2>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <p>Tous les services r�seau peuvent faire l'objet d'attaques de type
acc36ab93565d2880447d535da6ca6e5feac7a70nd    "D�ni de service" qui tentent de les emp�cher de r�pondre aux clients en
acc36ab93565d2880447d535da6ca6e5feac7a70nd    saturant leurs ressources. Il est impossible de se pr�munir totalement
acc36ab93565d2880447d535da6ca6e5feac7a70nd    contre ce type d'attaques, mais vous pouvez accomplir certaines actions
acc36ab93565d2880447d535da6ca6e5feac7a70nd    afin de minimiser les probl�mes qu'elles cr�ent.</p>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <p>Souvent, l'outil anti-DoS le plus efficace sera constitu� par le
acc36ab93565d2880447d535da6ca6e5feac7a70nd    pare-feu ou certaines configurations du syst�me d'exploitation. Par
acc36ab93565d2880447d535da6ca6e5feac7a70nd    exemple, la plupart des pare-feu peuvent �tre configur�s de fa�on �
acc36ab93565d2880447d535da6ca6e5feac7a70nd    limiter le nombre de connexions simultan�es depuis une adresse IP ou un
acc36ab93565d2880447d535da6ca6e5feac7a70nd    r�seau, ce qui permet de pr�venir toute une gamme d'attaques simples.
acc36ab93565d2880447d535da6ca6e5feac7a70nd    Bien s�r, ceci n'est d'aucun secours contre les attaques de type
acc36ab93565d2880447d535da6ca6e5feac7a70nd    "D�ni de service" distribu�es (DDoS).</p>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <p>Certains r�glages de la configuration d'Apache peuvent aussi
acc36ab93565d2880447d535da6ca6e5feac7a70nd    minimiser les probl�mes :</p>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <ul>
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <li>La directive <code class="directive"><a href="/mod/mod_reqtimeout.html#requestreadtimeout">RequestReadTimeout</a></code> permet de
acc36ab93565d2880447d535da6ca6e5feac7a70nd      limiter le temps que met le client pour envoyer sa requ�te.</li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <li>La valeur de la directive
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <code class="directive"><a href="/mod/core.html#timeout">TimeOut</a></code> doit �tre diminu�e sur les
acc36ab93565d2880447d535da6ca6e5feac7a70nd      sites sujets aux attaques DoS. Une valeur de quelques secondes devrait
acc36ab93565d2880447d535da6ca6e5feac7a70nd      convenir. Cependant, comme <code class="directive"><a href="/mod/core.html#timeout">TimeOut</a></code>
acc36ab93565d2880447d535da6ca6e5feac7a70nd      est actuellement concern� par de nombreuses op�rations diff�rentes, lui
acc36ab93565d2880447d535da6ca6e5feac7a70nd      attribuer une valeur trop faible peut provoquer des probl�mes avec les
acc36ab93565d2880447d535da6ca6e5feac7a70nd      scripts CGI qui pr�sentent un long temps de r�ponse.</li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <li>La valeur de la directive
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <code class="directive"><a href="/mod/core.html#keepalivetimeout">KeepAliveTimeout</a></code> doit aussi �tre
acc36ab93565d2880447d535da6ca6e5feac7a70nd      diminu�e sur les sites sujets aux attaques DoS. Certains sites
acc36ab93565d2880447d535da6ca6e5feac7a70nd      d�sactivent m�me compl�tement le "maintien en vie" (keepalives)
acc36ab93565d2880447d535da6ca6e5feac7a70nd      � l'aide de la directive
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <code class="directive"><a href="/mod/core.html#keepalive">KeepAlive</a></code>, ce qui bien s�r
acc36ab93565d2880447d535da6ca6e5feac7a70nd      pr�sente des inconv�nients en mati�re de performances.</li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <li>Les valeurs des diff�rentes directives fournies par d'autres modules
acc36ab93565d2880447d535da6ca6e5feac7a70nd      et en rapport avec des d�lais doivent aussi �tre v�rifi�es.</li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <li>Les directives
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <code class="directive"><a href="/mod/core.html#limitrequestbody">LimitRequestBody</a></code>,
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <code class="directive"><a href="/mod/core.html#limitrequestfields">LimitRequestFields</a></code>,
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <code class="directive"><a href="/mod/core.html#limitrequestfieldsize">LimitRequestFieldSize</a></code>,
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <code class="directive"><a href="/mod/core.html#limitrequestline">LimitRequestLine</a></code>, et
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <code class="directive"><a href="/mod/core.html#limitxmlrequestbody">LimitXMLRequestBody</a></code> doivent �tre
acc36ab93565d2880447d535da6ca6e5feac7a70nd      configur�es avec prudence afin de limiter la consommation de ressources
acc36ab93565d2880447d535da6ca6e5feac7a70nd      induite par les demandes des clients.
acc36ab93565d2880447d535da6ca6e5feac7a70nd      </li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <li>Sur les syst�mes d'exploitation qui le supportent, assurez-vous que
acc36ab93565d2880447d535da6ca6e5feac7a70nd      la directive <code class="directive"><a href="/mod/core.html#acceptfilter">AcceptFilter</a></code> est
acc36ab93565d2880447d535da6ca6e5feac7a70nd      activ�e afin de d�l�guer une partie du traitement des requ�tes au
acc36ab93565d2880447d535da6ca6e5feac7a70nd      syst�me d'exploitation. Elle est activ�e par d�faut dans le d�mon httpd
acc36ab93565d2880447d535da6ca6e5feac7a70nd      d'Apache, mais peut n�cessiter une reconfiguration de votre noyau.</li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <li>Optimisez la directive <code class="directive"><a href="/mod/mpm_common.html#maxrequestworkers">MaxRequestWorkers</a></code> de fa�on � d�finir le nombre
acc36ab93565d2880447d535da6ca6e5feac7a70nd      maximum de connexions simultan�es au dessus duquel les ressources
acc36ab93565d2880447d535da6ca6e5feac7a70nd      s'�puisent. Voir aussi la <a href="perf-tuning.html">documentation sur l'optimisation des
acc36ab93565d2880447d535da6ca6e5feac7a70nd      performances</a>.</li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <li>L'utilisation d'un <a href="/mpm.html">module mpm</a> thread�
acc36ab93565d2880447d535da6ca6e5feac7a70nd      vous permet de traiter d'avantage de connexions simultan�es, ce qui
acc36ab93565d2880447d535da6ca6e5feac7a70nd      minimise l'effet des attaques DoS. Dans le futur, le module mpm
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <code class="module"><a href="/mod/event.html">event</a></code> utilisera un traitement asynchrone afin de ne pas
acc36ab93565d2880447d535da6ca6e5feac7a70nd      d�dier un thread � chaque connexion. De par la
acc36ab93565d2880447d535da6ca6e5feac7a70nd      nature de la biblioth�que OpenSSL, le module mpm <code class="module"><a href="/mod/event.html">event</a></code> est actuellement incompatible
acc36ab93565d2880447d535da6ca6e5feac7a70nd      avec le module <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> ainsi que d'autres filtres
acc36ab93565d2880447d535da6ca6e5feac7a70nd      en entr�e. Dans ces cas, son comportement se ram�ne � celui
acc36ab93565d2880447d535da6ca6e5feac7a70nd      du module mpm <code class="module"><a href="/mod/worker.html">worker</a></code>.</li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd      <li>Il existe de nombreux modules tiers disponibles � <a href="http://modules.apache.org/">http://modules.apache.org/</a> qui
acc36ab93565d2880447d535da6ca6e5feac7a70nd      peuvent retreindre les comportements de certains clients et ainsi
acc36ab93565d2880447d535da6ca6e5feac7a70nd      minimiser les probl�mes de DoS.</li>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    </ul>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd  </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
acc36ab93565d2880447d535da6ca6e5feac7a70nd<div class="section">
acc36ab93565d2880447d535da6ca6e5feac7a70nd<h2><a name="serverroot" id="serverroot">Permissions sur les r�pertoires de la racine du serveur</a></h2>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <p>Typiquement, Apache est d�marr� par l'utilisateur root, puis il devient
acc36ab93565d2880447d535da6ca6e5feac7a70nd    la propri�t� de l'utilisateur d�fini par la directive <code class="directive"><a href="/mod/mod_unixd.html#user">User</a></code> afin de r�pondre aux demandes. Comme
acc36ab93565d2880447d535da6ca6e5feac7a70nd    pour toutes les commandes ex�cut�es par root, vous devez vous assurer
acc36ab93565d2880447d535da6ca6e5feac7a70nd    qu'elle n'est pas modifiable par les utilisateurs autres que root. Les
acc36ab93565d2880447d535da6ca6e5feac7a70nd    fichiers eux-m�mes, mais aussi les r�pertoires ainsi que leurs parents ne
acc36ab93565d2880447d535da6ca6e5feac7a70nd    doivent �tre modifiables que par root. Par exemple, si vous avez choisi de
acc36ab93565d2880447d535da6ca6e5feac7a70nd    placer la racine du serveur dans <code>/usr/local/apache</code>, il est conseill� de
acc36ab93565d2880447d535da6ca6e5feac7a70nd    cr�er le r�pertoire en tant que root, avec des commandes du style :</p>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <div class="example"><p><code>
acc36ab93565d2880447d535da6ca6e5feac7a70nd      mkdir /usr/local/apache <br />
acc36ab93565d2880447d535da6ca6e5feac7a70nd      cd /usr/local/apache <br />
acc36ab93565d2880447d535da6ca6e5feac7a70nd      mkdir bin conf logs <br />
acc36ab93565d2880447d535da6ca6e5feac7a70nd      chown 0 . bin conf logs <br />
acc36ab93565d2880447d535da6ca6e5feac7a70nd      chgrp 0 . bin conf logs <br />
acc36ab93565d2880447d535da6ca6e5feac7a70nd      chmod 755 . bin conf logs
acc36ab93565d2880447d535da6ca6e5feac7a70nd    </code></p></div>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <p>Nous supposerons que <code>/</code>, <code>/usr</code> et
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <code>/usr/local</code> ne sont modifiables que par
acc36ab93565d2880447d535da6ca6e5feac7a70nd    root. Quand vous installez l'ex�cutable <code class="program"><a href="/programs/httpd.html">httpd</a></code>, vous
acc36ab93565d2880447d535da6ca6e5feac7a70nd    devez vous assurer qu'il poss�de des protections similaires :</p>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <div class="example"><p><code>
acc36ab93565d2880447d535da6ca6e5feac7a70nd      cp httpd /usr/local/apache/bin <br />
acc36ab93565d2880447d535da6ca6e5feac7a70nd      chown 0 /usr/local/apache/bin/httpd <br />
acc36ab93565d2880447d535da6ca6e5feac7a70nd      chgrp 0 /usr/local/apache/bin/httpd <br />
acc36ab93565d2880447d535da6ca6e5feac7a70nd      chmod 511 /usr/local/apache/bin/httpd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    </code></p></div>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <p>Vous pouvez cr�er un sous-r�pertoire htdocs modifiable par d'autres
acc36ab93565d2880447d535da6ca6e5feac7a70nd    utilisateurs -- car root ne cr�e ni ex�cute aucun fichier dans ce
acc36ab93565d2880447d535da6ca6e5feac7a70nd    sous-r�pertoire.</p>
acc36ab93565d2880447d535da6ca6e5feac7a70nd
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <p>Si vous permettez � des utilisateurs non root de modifier des fichiers
acc36ab93565d2880447d535da6ca6e5feac7a70nd    que root �crit ou ex�cute, vous exposez votre syst�me � une compromission
acc36ab93565d2880447d535da6ca6e5feac7a70nd    de l'utilisateur root. Par exemple, quelqu'un pourrait remplacer le binaire
acc36ab93565d2880447d535da6ca6e5feac7a70nd    <code class="program"><a href="/programs/httpd.html">httpd</a></code> de fa�on � ce que la prochaine fois que vous le
acc36ab93565d2880447d535da6ca6e5feac7a70nd    red�marrerez, il ex�cutera un code arbitraire. Si le r�pertoire des
acc36ab93565d2880447d535da6ca6e5feac7a70nd    journaux a les droits en �criture (pour un utilisateur non root), quelqu'un
acc36ab93565d2880447d535da6ca6e5feac7a70nd    pourrait remplacer un fichier journal par un lien symbolique vers un autre
acc36ab93565d2880447d535da6ca6e5feac7a70nd    fichier syst�me, et root pourrait alors �craser ce fichier avec des donn�es
acc36ab93565d2880447d535da6ca6e5feac7a70nd    arbitraires. Si les fichiers journaux eux-m�mes ont des droits en
acc36ab93565d2880447d535da6ca6e5feac7a70nd    �criture (pour un utilisateur non root), quelqu'un pourrait
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    modifier les journaux eux-m�mes avec des donn�es fausses.</p>
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd  </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd<div class="section">
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd<h2><a name="ssi" id="ssi">Inclusions c�t� serveur</a></h2>
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    <p>Les inclusions c�t� serveur (Server Side Includes - SSI) exposent
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    l'administrateur du serveur � de nombreux risques potentiels en mati�re de
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    s�curit�.</p>
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    <p>Le premier risque est l'augmentation de la charge du serveur. Tous les
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    fichiers o� SSI est activ� doivent �tre analys�s par Apache, qu'ils
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    contiennent des directives SSI ou non. L'augmentation de la charge induite
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    est minime, mais peut devenir significative dans le contexte d'un
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    serveur partag�.</p>
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    <p>Les fichiers SSI pr�sentent les m�mes risques que les scripts CGI en
a23575a6e443ef2378c70c33f742de3ce9c6a2f7nd    g�n�ral. Les fichiers o� SSI est activ� peuvent ex�cuter tout script CGI
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    ou autre programme � l'aide de la commande <code>"exec cmd"</code> avec les permissions
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    des utilisateur et groupe sous lesquels Apache s'ex�cute, comme d�fini
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    dans <code>httpd.conf</code>.</p>
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    <p>Des m�thodes existent pour am�liorer la s�curit� des fichiers SSI, tout
ea981941b1e5ecfb1a27b9e9aff32b9c98640ed9nd    en tirant parti des b�n�fices qu'ils apportent.</p>
e32aae131dd649a62f9850f80bd6a313f9fb7c50nd
e32aae131dd649a62f9850f80bd6a313f9fb7c50nd    <p>Pour limiter les dommages qu'un fichier SSI agressif pourrait causer,
3b3b7fc78d1f5bfc2769903375050048ff41ff26nd    l'administrateur du serveur peut activer<a href="/suexec.html">suexec</a>
f086b4b402fa9a2fefc7dda85de2a3cc1cd0a654rjung    comme d�crit dans la section <a href="#cgi">Les CGI en g�n�ral</a>.</p>
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh
19737f4fbef1805f9c3e9e045bb6d710a1e5e10fhumbedooh    <p>L'activation des SSI pour des fichiers poss�dant des extensions
19737f4fbef1805f9c3e9e045bb6d710a1e5e10fhumbedooh    <code>.html</code> ou
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh    <code>.htm</code> peut s'av�rer dangereux. Ceci est particuli�rement vrai dans un
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh    environnement de serveur partag� ou �tant le si�ge d'un traffic �lev�. Les
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh    fichiers o� SSI est activ� doivent poss�der une extension sp�cifique, telle
19737f4fbef1805f9c3e9e045bb6d710a1e5e10fhumbedooh    que la conventionnelle <code>.shtml</code>. Ceci permet de limiter la charge du serveur
19737f4fbef1805f9c3e9e045bb6d710a1e5e10fhumbedooh    � un niveau minimum et de simplifier la gestion des risques.</p>
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh    <p>Une autre solution consiste � interdire l'ex�cution de scripts et
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh    programmes � partir de pages SSI. Pour ce faire, remplacez
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh    <code>Includes</code> par <code>IncludesNOEXEC</code> dans la directive
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh    <code class="directive"><a href="/mod/core.html#options">Options</a></code>. Notez que les utilisateurs
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh    pourront encore utiliser <code>&lt;--#include virtual="..." --&gt;</code> pour ex�cuter
19737f4fbef1805f9c3e9e045bb6d710a1e5e10fhumbedooh    des scripts CGI si ces scripts sont situ�s dans des r�pertoires sp�cifi�s
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh    par une directive
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh    <code class="directive"><a href="/mod/mod_alias.html#scriptalias">ScriptAlias</a></code>.</p>
5effc8b39fae5cd169d17f342bfc265705840014rbowen
d229f940abfb2490dee17979e9a5ff31b7012eb5rbowen  </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
7fec19672a491661b2fe4b29f685bc7f4efa64d4nd<div class="section">
7fec19672a491661b2fe4b29f685bc7f4efa64d4nd<h2><a name="cgi" id="cgi">Les CGI en g�n�ral</a></h2>
7fec19672a491661b2fe4b29f685bc7f4efa64d4nd
7fec19672a491661b2fe4b29f685bc7f4efa64d4nd
95cca22d35df6319a88a77b172c8921d2101c372nd
    <p>Tout d'abord, vous devez toujours garder � l'esprit que vous devez
    faire confiance aux d�veloppeurs de scripts ou programmes CGI ainsi qu'�
    vos comp�tences pour d�celer les trous de s�curit� potentiels dans les
    CGI, que ceux-ci soient d�lib�r�s ou accidentels. Les scripts CGI peuvent
    essentiellement ex�cuter des commandes arbitraires sur votre syst�me avec
    les droits de l'utilisateur du serveur web, et peuvent par cons�quent �tre
    extr�mement dangereux s'ils ne sont pas v�rifi�s avec soin.</p>

    <p>Tous les scripts CGI s'ex�cutent sous le m�me utilisateur, il peuvent
    donc entrer en conflit (accidentellement ou d�lib�r�ment) avec d'autres
    scripts. Par exemple, l'utilisateur A hait l'utilisateur B, il �crit donc
    un script qui efface la base de donn�es CGI de l'utilisateur B. Vous pouvez
    utiliser le programme <a href="/suexec.html">suEXEC</a> pour faire en
    sorte que les scripts s'ex�cutent sous des utilisateurs diff�rents. Ce
    programme est inclus dans la distribution d'Apache depuis la version 1.2
    et est appel� � partir de certaines portions de code du serveur Apache. Une
    autre m�thode plus connue est l'utilisation de
    <a href="http://cgiwrap.sourceforge.net/">CGIWrap</a>.</p>

  </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
<div class="section">
<h2><a name="nsaliasedcgi" id="nsaliasedcgi">CGI sans alias de script</a></h2>


    <p>Vous ne devez permettre aux utilisateurs d'ex�cuter des scripts CGI
    depuis n'importe quel r�pertoire que dans l'�ventualit� o� :</p>

    <ul>
      <li>Vous faites confiance � vos utilisateurs pour ne pas �crire de
      scripts qui vont d�lib�r�ment ou accidentellement exposer votre
      syst�me � une attaque.</li>
      <li>Vous estimez que le niveau de s�curit� dans les autres parties de
      votre site est si faible qu'un trou de s�curit� de plus ou de moins
      n'est pas tr�s important.</li>
      <li>Votre syst�me ne comporte aucun utilisateur, et personne ne visite
      jamais votre site.</li>
    </ul>

  </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
<div class="section">
<h2><a name="saliasedcgi" id="saliasedcgi">CGI avec alias de script</a></h2>


    <p>Le confinement des CGI dans des r�pertoires sp�cifiques permet �
    l'administrateur de contr�ler ce que l'on met dans ces r�pertoires. Ceci
    est bien entendu mieux s�curis� que les CGI sans alias de script, mais
    seulement � condition que les utilisateurs avec les droits en �criture sur
    les r�pertoires soient dignes de confiance, et que l'administrateur ait la
    volont� de tester chaque programme ou script CGI � la recherche d'�ventuels
    trous de s�curit�.</p>

    <p>La plupart des sites choisissent cette approche au d�triment des CGI
    sans alias de script.</p>

  </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
<div class="section">
<h2><a name="dynamic" id="dynamic">Autres sources de contenu dynamique</a></h2>


  <p>
  Les options de scripting int�gr�es qui s'ex�cutent en tant que partie du
  serveur lui-m�me, comme <code>mod_php</code>, <code>mod_perl</code>,
  <code>mod_tcl</code>, et <code>mod_python</code>,
  s'ex�cutent sous le m�me utilisateur que le serveur (voir la directive
  <code class="directive"><a href="/mod/mod_unixd.html#user">User</a></code>), et par cons�quent,
  les scripts que ces moteurs ex�cutent peuvent acc�der aux m�mes ressources
  que le serveur. Certains moteurs de scripting peuvent proposer des
  restrictions, mais pour plus de s�ret�, il vaut mieux partir du principe
  que ce n'est pas le cas.</p>

  </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
<div class="section">
<h2><a name="systemsettings" id="systemsettings">Protection de la configuration du syst�me</a></h2>


    <p>Pour contr�ler �troitement votre serveur, vous pouvez interdire
    l'utilisation des fichiers <code>.htaccess</code> qui permettent de
    passer outre les fonctionnalit�s de s�curit� que vous avez configur�es.
    Voici un moyen pour y parvenir :</p>

    <p>Ajoutez dans le fichier de configuration du serveur</p>

    <pre class="prettyprint lang-config">
&lt;Directory /&gt;
  AllowOverride None
&lt;/Directory&gt;
    </pre>


    <p>Ceci interdit l'utilisation des fichiers <code>.htaccess</code> dans
    tous les r�pertoires, sauf ceux pour lesquels c'est explicitement
    autoris�.</p>

  </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
<div class="section">
<h2><a name="protectserverfiles" id="protectserverfiles">Protection par d�faut des fichiers du serveur</a></h2>


    <p>Le concept d'acc�s par d�faut est un aspect d'Apache qui est parfois mal
    compris. C'est � dire que, � moins que vous ne changiez explicitement ce
    comportement, si le serveur trouve son chemin vers un fichier en suivant
    les r�gles normales de correspondance URL - fichier, il peut le retourner
    aux clients.</p>

    <p>Consid�rons l'exemple suivant :</p>

    <div class="example"><p><code>
      # cd /; ln -s / public_html <br />
      puis acc�s � <code>http://localhost/~root/</code>
    </code></p></div>

    <p>Ceci permettrait aux clients de parcourir l'ensemble du syst�me de
    fichiers. Pour l'�viter, ajoutez le bloc suivant � la configuration
    de votre serveur :</p>

    <pre class="prettyprint lang-config">
&lt;Directory /&gt;
Order Deny,Allow
Deny from all
&lt;/Directory&gt;
    </pre>


    <p>ceci va interdire l'acc�s par d�faut � tous les fichiers du syst�me de
    fichiers. Vous devrez ensuite ajouter les blocs
    <code class="directive"><a href="/mod/core.html#directory">Directory</a></code> appropri�s correspondant
    aux r�pertoires auxquels vous voulez autorisez l'acc�s. Par exemple,</p>

    <pre class="prettyprint lang-config">
&lt;Directory /usr/users/*/public_html&gt;
  Order Deny,Allow
  Allow from all
&lt;/Directory&gt;
&lt;Directory /usr/local/httpd&gt;
  Order Deny,Allow
  Allow from all
&lt;/Directory&gt;
    </pre>


    <p>Portez une attention particuli�re aux interactions entre les directives
    <code class="directive"><a href="/mod/core.html#location">Location</a></code> et
    <code class="directive"><a href="/mod/core.html#directory">Directory</a></code> ; par exemple, si une
    directive <code>&lt;Directory /&gt;</code> interdit un acc�s, une
    directive <code>&lt;Location /&gt;</code> pourra passer outre.</p>

    <p>De m�me, soyez m�fiant en jouant avec la directive
    <code class="directive"><a href="/mod/mod_userdir.html#userdir">UserDir</a></code> ; la positionner �
    <code>"./"</code> aurait le m�me effet, pour root, que le premier exemple plus haut.
    Nous vous conseillons
    fortement d'inclure la ligne suivante dans le fichier de configuration de
    votre serveur :</p>

    <pre class="prettyprint lang-config">
      UserDir disabled root
    </pre>


  </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
<div class="section">
<h2><a name="watchyourlogs" id="watchyourlogs">Surveillez vos journaux</a></h2>


    <p>Pour vous tenir inform� de ce qui se passe r�ellement dans votre
    serveur, vous devez consulter vos
    <a href="/logs.html">fichiers journaux</a>. M�me si les fichiers journaux
    ne consignent que des �v�nements qui se sont d�j� produits, ils vous
    informeront sur la nature des attaques qui sont lanc�es contre le serveur
    et vous permettront de v�rifier si le niveau de s�curit� n�cessaire est
    atteint.</p>

    <p>Quelques exemples :</p>

    <div class="example"><p><code>
      grep -c "/jsp/source.jsp?/jsp/ /jsp/source.jsp??" access_log <br />
      grep "client denied" error_log | tail -n 10
    </code></p></div>

    <p>Le premier exemple listera les attaques essayant d'exploiter la
    <a href="http://online.securityfocus.com/bid/4876/info/">vuln�rabilit�
    d'Apache Tomcat pouvant provoquer la divulgation d'informations par des
    requ�tes Source.JSP mal form�es</a>, le second donnera la liste des dix
    derni�res interdictions client ; par exemple :</p>

    <div class="example"><p><code>
      [Thu Jul 11 17:18:39 2002] [error] [client foo.example.com] client denied
      by server configuration: /usr/local/apache/htdocs/.htpasswd
    </code></p></div>

    <p>Comme vous le voyez, les fichiers journaux ne consignent que ce qui
    s'est d�j� produit ; ainsi, si le client a pu acc�der au fichier
    <code>.htpasswd</code>, vous devriez avoir quelque chose du style :</p>

    <div class="example"><p><code>
      foo.example.com - - [12/Jul/2002:01:59:13 +0200] "GET /.htpasswd HTTP/1.1"
    </code></p></div>

    <p>dans votre <a href="/logs.html#accesslog">journal des acc�s</a> ; ce
    qui signifie que vous avez probablement mis en commentaire ce qui suit dans
    le fichier de configuration de votre serveur :</p>

    <pre class="prettyprint lang-config">
&lt;Files ".ht*"&gt;
  Order allow,deny
  Deny from all
&lt;/Files&gt;
    </pre>


  </div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
<div class="section">
<h2><a name="merging" id="merging">Fusion des sections de configuration</a></h2>


    <p>La fusion des sections de configuration est complexe et d�pend
    souvent des directives utilis�es. Vous devez syst�matiquement tester
    vos modifications pour v�rifier la mani�re dont les directives sont
    fusionn�es.</p>

    <p>Concernant les modules qui n'impl�mentent aucune logique de
    fusion, comme <code class="directive">mod_access_compat</code>, le
    comportement des sections suivantes est tributaire de la pr�sence
    dans ces derni�res de directives appartenant � ces modules. La
    configuration est h�rit�e jusqu'� ce qu'une modification soit
    effectu�e ; � ce moment, la configuration est <em>remplac�e</em> et
    non fusionn�e.</p>
  </div></div>
<div class="bottomlang">
<p><span>Langues Disponibles: </span><a href="/en/misc/security_tips.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="/fr/misc/security_tips.html" title="Fran�ais">&nbsp;fr&nbsp;</a> |
<a href="/ko/misc/security_tips.html" hreflang="ko" rel="alternate" title="Korean">&nbsp;ko&nbsp;</a> |
<a href="/tr/misc/security_tips.html" hreflang="tr" rel="alternate" title="T�rk�e">&nbsp;tr&nbsp;</a></p>
</div><div class="top"><a href="#page-header"><img src="/images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>This section is experimental!</strong><br />Comments placed here should not be expected
to last beyond the testing phase of this system, nor do we in any way guarantee that we'll read them.</div>
<div id="disqus_thread">
</div><script type="text/javascript"><!--//--><![CDATA[//><!--
var lang = 'fr';
var disqus_shortname = 'httpd';
var disqus_identifier = window.location.href.replace(/(current|trunk)/, "2.4").replace(/\/[a-z]{2}\//, "/").replace(window.location.protocol, "http:") + '.' + lang;
if (disqus_identifier.indexOf("httpd.apache.org") != -1) {
    (function() {
                var dsq = document.createElement('script'); dsq.type = 'text/javascript'; dsq.async = true;
                dsq.src = window.location.protocol + '//' + disqus_shortname + '.disqus.com/embed.js';
            (document.getElementsByTagName('head')[0] || document.getElementsByTagName('body')[0]).appendChild(dsq);
        })();
} else {
    var text = document.createTextNode("Comments have been disabled for offline viewing.");
    document.getElementById('disqus_thread').appendChild(text);
}
//--><!]]></script></div><div id="footer">
<p class="apache">Copyright 2012 The Apache Software Foundation.<br />Autoris� sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
if (typeof(prettyPrint) !== undefined) {
    prettyPrint();
}
//--><!]]></script>
</body></html>