75ae7f8e2645d58697604161bd58c35e5de0adacgryzor<?xml-stylesheet type="text/xsl" href="/style/manual.fr.xsl"?>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor<!-- French translation : Lucien GENTIS -->
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor<!-- Reviewed by : Vincent Deffontaines -->
a99c5d4cc3cab6a62b04d52000dbc22ce1fa2d94coar<!-- English Revision: 1342078:1673945 (outdated) -->
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Licensed to the Apache Software Foundation (ASF) under one or more
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor contributor license agreements. See the NOTICE file distributed with
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor this work for additional information regarding copyright ownership.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor The ASF licenses this file to You under the Apache License, Version 2.0
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor (the "License"); you may not use this file except in compliance with
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor the License. You may obtain a copy of the License at
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Unless required by applicable law or agreed to in writing, software
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor distributed under the License is distributed on an "AS IS" BASIS,
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor See the License for the specific language governing permissions and
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor limitations under the License.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>La fonctionnalité <strong>suEXEC</strong> permet
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'exécution des programmes <strong>CGI</strong> et
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>SSI</strong> sous un utilisateur autre que celui sous
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor lequel s'exécute le serveur web qui appelle ces programmes.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Normalement, lorsqu'un programme CGI ou SSI est lancé, il
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor s'exécute sous le même utilisateur que celui du serveur web qui
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'appelle.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Utilisée de manière appropriée, cette fonctionnalité peut
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor réduire considérablement les risques de sécurité encourus
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor lorsqu'on autorise les utilisateurs à développer et faire
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor s'exécuter des programmes CGI ou SSI de leur cru. Cependant, mal
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor configuré, suEXEC peut causer de nombreux problèmes et même créer
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor de nouvelles failles dans la sécurité de votre ordinateur. Si
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor vous n'êtes pas familier avec la gestion des programmes
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <em>setuid root</em> et les risques de sécurité qu'ils comportent,
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor nous vous recommandons vivement de ne pas tenter
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor d'utiliser suEXEC.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor<section id="before"><title>Avant de commencer</title>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Avant de foncer tête baissée dans la lecture de ce document,
a9db829bebc5339233a3242f6742816425751d15lgentis vous devez tenir compte de certaines hypothèses concernant vous-même
a9db829bebc5339233a3242f6742816425751d15lgentis et l'environnement dans lequel vous allez utiliser suexec.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Premièrement, vous devez utiliser un système d'exploitation
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor UNIX ou dérivé, capable d'effectuer des opérations
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>setuid</strong> et <strong>setgid</strong>. Tous les
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor exemples de commande sont donnés en conséquence. D'autres
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor plates-formes, même si elles supportent suEXEC, peuvent
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor avoir une configuration différente.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Deuxièmement, vous devez être familier avec les concepts de base
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor relatifs à la sécurité de votre ordinateur et son administration.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Ceci implique la compréhension des opérations
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>setuid/setgid</strong> et des différents effets qu'elles
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor peuvent produire sur votre système et son niveau de sécurité.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Troisièmement, vous devez utiliser une version
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>non modifiée</strong> du code de suEXEC. L'ensemble du
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor code de suEXEC a été scruté et testé avec soin par les développeurs
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor et de nombreux bêta testeurs. Toutes les précautions ont été prises
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor pour s'assurer d'une base sûre de code non seulement simple, mais
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor aussi solide. La modification de ce code peut causer des problèmes
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor inattendus et de nouveaux risques de sécurité. Il est
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>vivement</strong> recommandé de ne pas modifier le code de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor suEXEC, à moins que vous ne soyez un programmeur spécialiste des
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor particularités liées à la sécurité, et souhaitez partager votre
a9db829bebc5339233a3242f6742816425751d15lgentis travail avec l'équipe de développement du serveur HTTP Apache afin
a9db829bebc5339233a3242f6742816425751d15lgentis de pouvoir en discuter.</p>
a9db829bebc5339233a3242f6742816425751d15lgentis <p>Quatrièmement et dernièrement, l'équipe de développement du
a9db829bebc5339233a3242f6742816425751d15lgentis serveur HTTP Apache a décidé de ne
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>PAS</strong> inclure suEXEC dans l'installation par défaut
a9db829bebc5339233a3242f6742816425751d15lgentis d'Apache httpd. Pour pouvoir mettre en oeuvre suEXEC, l'administrateur
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor doit porter la plus grande attention aux détails. Après avoir bien
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor réfléchi aux différents points de la configuration de suEXEC,
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'administrateur peut l'installer selon les méthodes classiques.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Les valeurs des paramètres de configuration doivent être
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor déterminées et spécifiées avec soin par l'administrateur, afin de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor maintenir la sécurité du système de manière appropriée lors de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'utilisation de la fonctionnalité suEXEC. C'est par le biais de
a9db829bebc5339233a3242f6742816425751d15lgentis ce processus minutieux que nous espérons réserver
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'installation de suEXEC aux administrateurs prudents et
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor suffisamment déterminés à vouloir l'utiliser.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Vous êtes encore avec nous ? Oui ? Bien.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Alors nous pouvons continuer !</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor<section id="model"><title>Modèle de sécurité de suEXEC</title>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Avant d'installer et configurer suEXEC, nous allons tout d'abord
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor décrire le modèle de sécurité que vous êtes sur le point
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor d'implémenter. Vous devriez ainsi mieux comprendre ce qui se passe
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor vraiment à l'intérieur de suEXEC et quelles précautions ont été
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor prises pour préserver la sécurité de votre système.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p><strong>suEXEC</strong> est basé sur un programme "conteneur"
a9db829bebc5339233a3242f6742816425751d15lgentis (wrapper) setuid qui est appelé par le serveur HTTP Apache principal.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Ce conteneur est appelé quand une requête HTTP concerne
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor un programme CGI ou SSI que l'administrateur
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor a décidé de faire s'exécuter
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor sous un utilisateur autre que celui du serveur principal.
a9db829bebc5339233a3242f6742816425751d15lgentis Lorsqu'il reçoit une telle requête, Apache httpd fournit au conteneur
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor suEXEC le nom du programme, ainsi que les identifiants utilisateur
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor et groupe sous lesquels le programme doit s'exécuter.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Le conteneur effectue ensuite les vérifications suivantes afin
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor de déterminer la réussite ou l'échec du processus -- si une seule
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor de ces conditions n'est pas vérifiée, le programme journalise
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'erreur et se termine en retournant un code d'erreur, sinon il
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor continue :</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>L'utilisateur qui exécute le conteneur est-il un
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor utilisateur valide de ce système ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Ceci permet de s'assurer que l'utilisateur qui exécute le
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor conteneur est vraiment un utilisateur appartenant au système.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le conteneur a-t-il été appelé avec un nombre
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor d'arguments correct ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Le conteneur ne s'exécutera que si on lui fournit un nombre
a9db829bebc5339233a3242f6742816425751d15lgentis d'arguments correct. Le serveur HTTP apache sait quel est le
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor bon format des arguments. Si le conteneur ne reçoit pas un
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor nombre d'arguments correct, soit il a été modifié,
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor soit quelque chose ne va pas dans la portion suEXEC de
a9db829bebc5339233a3242f6742816425751d15lgentis votre binaire Apache httpd.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Cet utilisateur valide est-il autorisé à exécuter le
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor conteneur ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Cet utilisateur est-il celui autorisé à exécuter le
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor conteneur ? Un seul utilisateur (celui d'Apache) est
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor autorisé à exécuter ce programme.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le chemin du programme CGI ou SSI cible est-il
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor non sûr ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Le chemin du programme CGI ou SSI cible débute-t-il par un
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor '/' ou contient-il une référence arrière '..' ? Ceci est
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor interdit ; le programme CGI ou SSI cible doit se trouver dans
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor la hiérarchie de la racine des documents de suEXEC (voir
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <code>--with-suexec-docroot=<em>DIR</em></code> ci-dessous).
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le nom utilisateur cible est-il valide ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor L'utilisateur cible existe-t-il ?
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le nom du groupe cible est-il valide ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Le groupe cible existe-t-il ?
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor superutilisateur ?</strong>
ec5fd46fd2a4a263bb5cdf419e8d4106007a2ac8gryzor suEXEc ne permet pas à
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <code><em>root</em></code> d'exécuter des programmes CGI/SSI.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le numéro de l'identifiant de l'utilisateur cible
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor est-il <em>SUPERIEUR</em> au numéro d'identifiant
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor minimum ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Le numéro d'identifiant utilisateur minimum est défini à
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'exécution du script configure. Ceci vous permet de définir
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor le numéro d'identifiant utilisateur le plus bas qui sera
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor autorisé à éxécuter des programmes CGI/SSI. En particulier,
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor cela permet d'écarter les comptes système.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le groupe cible n'est-il <em>PAS</em> le groupe
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor superutilisateur ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Actuellement, suEXEC ne permet pas au groupe
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <code><em>root</em></code> d'exécuter des programmes CGI/SSI.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong> Le numéro d'identifiant du groupe cible est-il
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <em>SUPERIEUR</em> au numéro d'identifiant minimum ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Le numéro d'identifiant de groupe minimum est spécifié lors
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor de l'exécution du script configure. Ceci vous permet de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor définir l'identifiant de groupe le plus bas possible qui sera
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor autorisé à exécuter des programmes CGI/SSI, et est
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor particulièrement utile pour écarter les groupes "système".
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le conteneur peut-il obtenir avec succès l'identité
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor des utilisateur et groupe cibles ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor C'est ici que le programme obtient l'identité des utilisateur
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor et groupe cibles via des appels à setuid et setgid. De même,
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor la liste des accès groupe est initialisée avec tous les
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor groupes auxquels l'utilisateur cible appartient.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Peut-on se positionner dans le répertoire dans dequel
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor S'il n'existe pas, il ne peut pas contenir de fichier. Et si
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'on ne peut pas s'y positionner, il n'existe probablement
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le répertoire est-il dans l'espace web
a9db829bebc5339233a3242f6742816425751d15lgentis de httpd ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Si la requête concerne une portion de la racine du serveur,
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor le répertoire demandé est-il dans la hiérarchie de la racine
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor des documents de suEXEC ? Si la requête concerne un
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor >UserDir</directive>, le répertoire demandé est-il dans
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor la hiérarchie du répertoire défini comme le répertoire
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor utilisateur de suEXEC (voir les
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <a href="#install">options de configuration de suEXEC</a>) ?
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>L'écriture dans le répertoire est-elle interdite pour
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor un utilisateur autre que le propriétaire </strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Le répertoire ne doit pas être ouvert aux autres
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor utilisateurs ; seul l'utilisateur propriétaire doit pouvoir
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor modifier le contenu du répertoire.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le programme CGI/SSI cible existe-t-il ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor S'il n'existe pas, il ne peut pas être exécuté.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Les utilisateurs autres que le propriétaire n'ont-ils
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <em>PAS</em> de droits en écriture sur le programme
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Les utilisateurs autres que le propriétaire ne doivent pas
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le programme CGI/SSI n'est-il <em>PAS</em> setuid ou
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor setgid ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Les programmes cibles ne doivent pas pouvoir modifier à
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le couple utilisateur/groupe cible est-il le même que
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor celui du programme ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor L'utilisateur est-il le propriétaire du fichier ?
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Peut-on nettoyer avec succès l'environnement des
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor processus afin de garantir la sûreté des opérations ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor suExec nettoie l'environnement des processus en établissant
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor un chemin d'exécution sûr (défini lors de la configuration),
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor et en ne passant que les variables dont les noms font partie
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor de la liste de l'environnement sûr (créée de même lors de la
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor configuration).
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>Le conteneur peut-il avec succès se substituer au
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor programme CGI/SSI cible et s'exécuter ?</strong>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor C'est là où l'exécution de suEXEC s'arrête et où commence
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Ce sont les opérations standards effectuées par le modèle de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor sécurité du conteneur suEXEC. Il peut paraître strict et est
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor susceptible d'imposer de nouvelles limitations et orientations
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor dans la conception des programmes CGI/SSI, mais il a été développé
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor avec le plus grand soin, étape par étape, en se focalisant sur
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor la sécurité.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Pour plus d'informations sur la mesure dans laquelle ce modèle
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor de sécurité peut limiter vos possibilités au regard de la
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor configuration du serveur, ainsi que les risques de sécurité qui
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor peuvent être évités grâce à une configuration appropriée de suEXEC,
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor se référer à la section <a
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor href="#jabberwock">"Avis à la population !"</a> de ce document.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor<section id="install"><title>Configurer et installer suEXEC</title>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>C'est ici que nous entrons dans le vif du sujet.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p><strong>Options de configuration de suEXEC</strong><br />
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dd>Cette option active la fonctionnalité suEXEC qui n'est
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor jamais installée ou activée par défaut. Au moins une option
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <code>--with-suexec-xxxxx</code> doit accompagner l'option
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <code>--enable-suexec</code> pour qu'APACI (l'utilitaire de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor configuration de la compilation d'Apache) accepte votre demande
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor d'utilisation de la fonctionnalité suEXEC.</dd>
87572e8c0099fbc192aedb944be2f969a4fc181flgentis <dd><strong>Spécifique à Linux :</strong> Normalement, le binaire
87572e8c0099fbc192aedb944be2f969a4fc181flgentis <code>suexec</code> est installé en mode "setuid/setgid root", ce
87572e8c0099fbc192aedb944be2f969a4fc181flgentis qui lui permet de s'exécuter avec la totalité des privilèges de
87572e8c0099fbc192aedb944be2f969a4fc181flgentis l'utilisateur root. Avec cette option, le binaire
87572e8c0099fbc192aedb944be2f969a4fc181flgentis <code>suexec</code> sera installé avec seulement les bits
87572e8c0099fbc192aedb944be2f969a4fc181flgentis setuid/setgid "capability" définis, ce qui constitue un
71057dc4e1faae19973c68add84e2ff88d5b65ebjailletc sous-ensemble des privilèges de root pour les opérations de
87572e8c0099fbc192aedb944be2f969a4fc181flgentis suexec. Notez que dans ce mode, le binaire <code>suexec</code> ne
87572e8c0099fbc192aedb944be2f969a4fc181flgentis sera pas en mesure d'écrire dans un fichier journal ; il est donc
87572e8c0099fbc192aedb944be2f969a4fc181flgentis recommandé dans ce mode d'utiliser les options
87572e8c0099fbc192aedb944be2f969a4fc181flgentis <code>--with-suexec-syslog --without-suexec-logfile</code>, afin
87572e8c0099fbc192aedb944be2f969a4fc181flgentis d'utiliser la jounalisation syslog.</dd>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dt><code>--with-suexec-bin=<em>PATH</em></code></dt>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dd>Le chemin du binaire <code>suexec</code> doit être codé en
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor dur dans le serveur pour des raisons de sécurité. Cette option
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor vous permet de modifier le chemin par défaut.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dt><code>--with-suexec-caller=<em>UID</em></code></dt>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dd>L'<a href="mod/mpm_common.html#user">utilisateur</a> sous
a9db829bebc5339233a3242f6742816425751d15lgentis lequel httpd s'exécute habituellement. C'est le seul utilisateur
424edfaa5b21b17d739ebefa4c16966ed6310067lgentis autorisé à exécuter le wrapper suEXEC.</dd>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dt><code>--with-suexec-userdir=<em>DIR</em></code></dt>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dd>Cette option définit le sous-répertoire de la hiérarchie des
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor répertoires utilisateurs dans lequel l'utilisation
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor de suEXEC sera autorisée. Tous les exécutables situés dans ce
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor répertoire seront exécutables par suEXEC sous l'utilisateur
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor cible ; ces programmes doivent donc être sûrs. Si vous utilisez
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor une directive <directive module="mod_userdir">UserDir</directive>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor "simple" (c'est à dire ne contenant pas de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor "*"), l'option --with-suexec-userdir
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor devra contenir la même valeur. SuEXEC ne fonctionnera pas
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor correctement si la directive <directive
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor module="mod_userdir">UserDir</directive> contient une valeur
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor différente du répertoire home de l'utilisateur tel qu'il est
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor défini dans le fichier <code>passwd</code>. la valeur par défaut
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Si vous avez plusieurs hôtes virtuels avec une directive
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <directive module="mod_userdir">UserDir</directive> différente
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor pour chacun d'entre eux, vous devrez faire en sorte que chaque
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor UserDir possède un répertoire parent commun ; donnez alors à
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'option --with-suexec-userdir le nom
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor de ce répertoire commun. <strong>Si tout ceci n'est pas défini
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor correctement, les requêtes CGI "~userdir" ne fonctionneront
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dt><code>--with-suexec-docroot=<em>DIR</em></code></dt>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dd>Cette option fonctionne comme la directive DocumentRoot pour
a9db829bebc5339233a3242f6742816425751d15lgentis httpd. Il s'agit de la seule hiérarchie (en dehors des directives
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor >UserDir</directive>) dans laquelle la fonctionnalité suEXEC
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor pourra être utilisée. La valeur par défaut est la valeur de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <em>Par exemple</em>, si vous exécutez configure avec
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor "<code>/home/apache/htdocs</code>" sera utilisée par défaut comme
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor racine des documents pour le conteneur suEXEC.</dd>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dt><code>--with-suexec-uidmin=<em>UID</em></code></dt>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dd>Cette option définit l'identifiant utilisateur le plus bas
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor avec lequel un utilisateur pourra être la cible de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor suEXEC. 500 ou 100 sont des valeurs courantes sur la plupart des
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor systèmes. la valeur par défaut est 100.</dd>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dt><code>--with-suexec-gidmin=<em>GID</em></code></dt>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dd>Cette option définit l'identifiant de groupe le plus bas
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor avec lequel un utilisateur pourra être la cible de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor suEXEC. 100 est une valeur courante sur la plupart des
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor systèmes et est par conséquent la valeur par défaut.</dd>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dt><code>--with-suexec-logfile=<em>FILE</em></code></dt>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dd>Cette option permet de définir le fichier dans lequel
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor toutes les transactions et erreurs de suEXEC seront journalisées
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor (à des fins d'analyse ou de débogage). Par défaut, le fichier
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor journal se nomme "<code>suexec_log</code>" et se trouve dans votre
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor répertoire standard des fichiers journaux défini par
87572e8c0099fbc192aedb944be2f969a4fc181flgentis <dd>Avec cette option, suexec enregistrera les messages d'erreurs
87572e8c0099fbc192aedb944be2f969a4fc181flgentis et d'informations dans le journal syslog. Cette option doit être
87572e8c0099fbc192aedb944be2f969a4fc181flgentis utilisée conjointement avec l'option
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dt><code>--with-suexec-safepath=<em>PATH</em></code></dt>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <dd>Cette option permet de définir une variable d'environnement
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor PATH sûre à passer aux exécutables CGI. La valeur par défaut
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor est "<code>/usr/local/bin:/usr/bin:/bin</code>".</dd>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <title>Compilation et installation du conteneur suEXEC</title>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Si vous avez activé la fonctionnalité suEXEC à l'aide de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <code>suexec</code> sera automatiquement construit (en même temps
a9db829bebc5339233a3242f6742816425751d15lgentis que httpd) lorsque vous exécuterez la commande
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Lorsque tous les composants auront été construits, vous pourrez
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor exécuter la commande <code>make install</code> afin de les
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor installer. Le binaire <code>suexec</code> sera installé dans le
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor répertoire défini à l'aide de l'option <code>--sbindir</code>. La
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor localisation par défaut est "/usr/local/apache2/bin/suexec".</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Veuillez noter que vous aurez besoin des
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong><em>privilèges root</em></strong> pour passer l'étape de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'installation. Pour que le conteneur puisse changer
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'identifiant utilisateur, il doit avoir comme propriétaire
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <code><em>root</em></code>, et les droits du fichier doivent
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor inclure le bit d'exécution setuserid.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <title>>Mise en place de permissions pour
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor paranoïaque</title>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Bien que le conteneur suEXEC vérifie que l'utilisateur qui
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'appelle correspond bien à l'utilisateur spécifié à l'aide de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'option <code>--with-suexec-caller</code> du programme
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <program>configure</program>, il subsiste toujours le risque qu'un
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor appel système ou une bibliothèque fasse appel à suEXEC avant que
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor cette vérification ne soit exploitable sur votre système. Pour
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor tenir compte de ceci, et parce que c'est en général la meilleure
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor pratique, vous devez utiliser les permissions du système de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor fichiers afin de vous assurer que seul le groupe sous lequel
a9db829bebc5339233a3242f6742816425751d15lgentis s'exécute httpd puisse faire appel à suEXEC.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Si, par exemple, votre serveur web est configuré pour
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor s'exécuter en tant que :</p>
ad338079daa7c8b4d59efe1c1ff40cdd6f7e2f5algentisGroup webgroup
ad338079daa7c8b4d59efe1c1ff40cdd6f7e2f5algentis </highlight>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor "/usr/local/apache2/bin/suexec", vous devez exécuter les
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor commandes</p>
a9db829bebc5339233a3242f6742816425751d15lgentis <p>Ceci permet de s'assurer que seul le groupe sous lequel httpd
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor s'exécute (ici webgroup) puisse faire appel au conteneur
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor suEXEC.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor<section id="enable"><title>Activation et désactivation
75ae7f8e2645d58697604161bd58c35e5de0adacgryzorde suEXEC</title>
a9db829bebc5339233a3242f6742816425751d15lgentis <p>Au démarrage, httpd vérifie la présence du fichier
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <program>suexec</program> dans le répertoire défini par
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'option <code>--sbindir</code> du script configure (le
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor répertoire par défaut est "/usr/local/apache/sbin/suexec"). Si
a9db829bebc5339233a3242f6742816425751d15lgentis httpd trouve un conteneur suEXEC correctement configuré, il
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor enregistrera le message suivant dans le journal des erreurs :</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor [notice] suEXEC mechanism enabled (wrapper: <var>/path/to/suexec</var>)
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Si ce message n'est pas généré au démarrage du serveur, ce
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor dernier ne trouve probablement pas le programme conteneur à
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor l'endroit où il est sensé être, ou l'exécutable suexec n'est pas
a9db829bebc5339233a3242f6742816425751d15lgentis <p>Si le serveur HTTP Apache est déjà en cours d'exécution, et si
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor vous activez le mécanisme suEXEC pour la première fois, vous
a9db829bebc5339233a3242f6742816425751d15lgentis devez arrêter et redémarrer httpd. Un redémarrage
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor à l'aide d'un simple signal HUP ou USR1 suffira. </p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Pour désactiver suEXEC, vous devez supprimer le fichier
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <program>suexec</program>, puis arrêter et redémarrer
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor<section id="usage"><title>Utilisation de suEXEC</title>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Les requêtes pour des programmes CGI ne feront appel au
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor conteneur suEXEC que si elles concernent un hôte virtuel
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor contenant une directive <directive
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor module="mod_suexec">SuexecUserGroup</directive>, ou si elles sont
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor traitées par <module>mod_userdir</module>.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p><strong>Hôtes virtuels :</strong><br /> Une des méthodes
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor d'utilisation du conteneur suEXEC consiste à insérer une
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor directive <directive
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor module="mod_suexec">SuexecUserGroup</directive> dans une section
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <directive module="core">VirtualHost</directive>. En définissant
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor des valeurs différentes de celles du serveur principal, toutes les
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor requêtes pour des ressources CGI seront exécutées sous
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor les <em>User</em> et <em>Group</em> définis pour cette section
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor module="core" type="section">VirtualHost</directive>. Si cette
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor directive est absente de la section <directive module="core"
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor type="section">VirtualHost</directive>, l'utilisateur du
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor serveur principal sera pris par défaut</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p><strong>Répertoires des utilisateurs :</strong><br /> Avec
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor cette méthode, les
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor requêtes traitées par <module>mod_userdir</module> appelleront le
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor conteneur suEXEC pour exécuter le programme CGI sous l'identifiant
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor utilisateur du répertoire utilisateur concerné. Seuls prérequis
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor pour pouvoir accéder à cette fonctionnalité : l'exécution des CGI
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor doit être activée pour l'utilisateur concerné, et le script doit
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor passer avec succès le test des <a href="#model">vérifications de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor sécurité</a> décrit plus haut. Voir aussi l'
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor<section id="debug"><title>Débogage de suEXEC</title>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Le conteneur suEXEC va écrire ses informations de journalisation
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor dans le fichier défini par l'option de compilation
87572e8c0099fbc192aedb944be2f969a4fc181flgentis <code>--with-suexec-logfile</code> comme indiqué plus haut,
87572e8c0099fbc192aedb944be2f969a4fc181flgentis ou vers syslog si l'option <code>--with-suexec-syslog</code> est
87572e8c0099fbc192aedb944be2f969a4fc181flgentis utilisée. Si vous
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor pensez avoir configuré et installé correctement le conteneur,
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor consultez ce journal, ainsi que le journal des erreurs du serveur
87572e8c0099fbc192aedb944be2f969a4fc181flgentis afin de déterminer l'endroit où vous avez fait fausse
87572e8c0099fbc192aedb944be2f969a4fc181flgentis route. Si vous utilisez une distribution binaire, la commande
87572e8c0099fbc192aedb944be2f969a4fc181flgentis <code>"suexec -V"</code> vous permet de déterminer quelles options
87572e8c0099fbc192aedb944be2f969a4fc181flgentis ont été utilisées pour compiler suexec.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor<section id="jabberwock"><title>Avis à la population !
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Avertissements et exemples</title>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p><strong>NOTE !</strong> Cette section est peut-être incomplète.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Pour en consulter la dernière révision, voir la version de la <a
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor href="http://httpd.apache.org/docs/&httpd.docs;/suexec.html"
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <p>Quelques points importants du conteneur peuvent
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor imposer des contraintes du point de vue de la configuration du
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor serveur. Veuillez en prendre connaissance avant de soumettre un
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor rapport de bogue à propos de suEXEC.</p>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <li><strong>Points importants de suEXEC</strong></li>
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Limitations concernant la hiérarchie.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Pour des raisons de sécurité et d'efficacité, toutes les
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor requêtes suEXEC ne doivent concerner que des ressources
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor situées dans la racine des documents définie pour les
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor requêtes concernant un hôte virtuel, ou des ressources
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor situées dans la racine des documents définies pour les
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor requêtes concernant un répertoire utilisateur. Par exemple,
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor si vous avez configuré quatre hôtes virtuels, vous devrez
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor définir la structure des racines de documents de vos hôtes
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor virtuels en dehors d'une hiérarchie de documents principale
a9db829bebc5339233a3242f6742816425751d15lgentis de httpd, afin de tirer parti de suEXEC dans le contexte des
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor hôtes virtuels (Exemple à venir).
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor La variable d'environnement PATH de suEXEC
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Modifier cette variable peut s'avérer dangereux. Assurez-vous
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor que tout chemin que vous ajoutez à cette variable est un
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor répertoire <strong>de confiance</strong>. Vous n'avez
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor probablement pas l'intention d'ouvrir votre serveur de façon
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor à ce que l'on puisse y exécuter un cheval de Troie.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Modification de suEXEC
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor Encore une fois, ceci peut vous causer de
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor <strong>graves ennuis</strong> si vous vous y essayez sans
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor savoir ce que vous faites. Evitez de vous y risquer dans la
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor mesure du possible.
75ae7f8e2645d58697604161bd58c35e5de0adacgryzor</manualpage>