Apache/.htaccess

Un livre de Wikilivres.
Sauter à la navigation Sauter à la recherche


Principe[modifier | modifier le wikicode]

Pour protéger un répertoire en particulier (et ses sous-répertoires), il suffit de placer un fichier nommé .htaccess dedans. Apache appliquera instantanément ensuite les règles qu'il contient, uniquement dans cette arborescence.

Attention !
link={{{link}}}

L'explorateur de fichiers de Windows ne permet pas de rebaptiser des fichiers commençant par des points, il faut donc passer par un éditeur de texte.

Par exemple, pour interdire de visualiser les fichiers d'un répertoire qui n'a pas d'index (ex : .html, .php), ajouter le code : Options -Indexes.

Pour autoriser les .htaccess dans le .conf du site, utiliser AllowOverride[1] :

AllowOverride All

Pour les interdire :

AllowOverride None

Protection par provenance[modifier | modifier le wikicode]

De nombreux robots tentent quotidiennement de pirater des bases de données (par exemple via PhpMyAdmin). Pour s'en prémunir on peut n'autoriser que deux IP à lire ce répertoire :

deny from all
allow from 127.0.0.1
allow from 127.0.0.2

Si les plages d'autorisation chevauchent celles d'interdiction, il est possible de préciser leur précédence (l'ordre des lignes dans le fichier ne change rien) :

order allow, deny 
commence par les autorisation puis démarre les interdictions au risque d'interdire ce qui était autorisé.
order deny, allow 
le contraire est moins restrictif.

Protection par mot de passe[modifier | modifier le wikicode]

Configuration de l'authentification[modifier | modifier le wikicode]

Il est impératif que la modification des paramètres d'authentification soit autorisée dans la configuration d'Apache.

Il faut que la directive AllowOverride d'un répertoire parent contienne l'option AuthConfig.

Les directives à placer dans le .htaccess sont les suivantes :

AuthType basic 
type d'authentification communément adopté mais peu sécurisé
AuthName "Mon message" 
affichera le texte comme invite dans la boîte de dialogue
AuthUserFile /etc/apache2/my_passwd 
indique où vont se trouver les mots de passe
Require valid-user 
précise qu'il faut un compte dans le fichier de mots de passe pour accéder au répertoire

On peut aussi utiliser Require user toto sasa pour n'autoriser que les comptes toto et sasa.

Le type d'authentification basic fait circuler les mots de passe en clair. Il existe d'autres types plus sécurisés comme digest, qu'il est recommandé de combiner à HTTPS. Voir l'article sur wikipédia pour plus de détails sur le fonctionnement.

La première requête adressée à ce répertoire protégé provoquera l'affichage d'une boîte de dialogue par laquelle l'utilisateur devra s'identifier (nom et mot de passe) :

  • Si le mot de passe saisi est invalide, la boite de dialogue s'affichera de nouveau.
  • S'il est valide, le navigateur l'enregistre et ne le demandera plus.

Il faudra relancer le navigateur pour qu'il le demande de nouveau.

Fichier de mots de passe[modifier | modifier le wikicode]

Pour créer un fichier stockant les mots de passe permettant de lire un site, nommé /etc/apache2/default-passwd avec comme 1er utilisateur toto, on utilisera la commande

htpasswd -c /home/user/www/.htpasswd toto

Pour ajouter ou modifier un utilisateur à un fichier de mots de passe existant :

htpasswd /home/user/www/.htpasswd sasa

Pour que le .htaccess active le .htpasswd, y ajouter les directives :

AuthName "Page protégée"
AuthType Basic
AuthUserFile "/home/user/www/.htpasswd"
Require valid-user
Attention !
link={{{link}}}

Cette protection ne tient pas compte des robots qui essaient tous les mots de passe un par un. Il convient donc de l'utiliser en complément d'un bon pare-feu (ex : iptables).

Redirections[modifier | modifier le wikicode]

La syntaxe est la même que dans le fichier de configuration générale d'Apache, sauf que cela n'affectera que le répertoire du fichier .htaccess.

Références[modifier | modifier le wikicode]