Apache/Sécurité

Un livre de Wikilivres.
Sauter à la navigation Sauter à la recherche


De nombreux robots tentent quotidiennement de pirater des bases de données (par exemple via PhpMyAdmin ou WordPress). Pour s'en prémunir on peut jouer sur plusieurs critères.

Par exemple, pour interdire de visualiser les fichiers d'un répertoire qui n'a pas d'index (ex : .html, .php), ajouter le code : Options -Indexes.

Protection par provenance[modifier | modifier le wikicode]

N'autoriser que deux IP à lire ces répertoires :

whitelist avec Require[1][modifier | modifier le wikicode]

    <Directory /usr/share/phpmyadmin/>
        <IfModule mod_authz_core.c>
            <RequireAny>
                Require all granted
                Require ip 127.0.0.1
                Require ip 127.0.0.2
            </RequireAny>
        </IfModule>
    </Directory>

whitelist avec allow (obsolète en Apache 2.4)[modifier | modifier le wikicode]

    <Directory /usr/share/phpmyadmin/>
        <IfModule mod_access_compat.c>
            deny from all
            allow from 127.0.0.1
            allow from 127.0.0.2
        </IfModule>
    </Directory>

Si les plages d'autorisation chevauchent celles d'interdiction, il est possible de préciser leur précédence (l'ordre des lignes dans le fichier ne change rien) :

order allow, deny 
commence par les autorisation puis démarre les interdictions au risque d'interdire ce qui était autorisé.
order deny, allow 
le contraire est moins restrictif.

Protection par mot de passe[modifier | modifier le wikicode]

Configuration de l'authentification[modifier | modifier le wikicode]

Il est impératif que la modification des paramètres d'authentification soit autorisée dans la configuration d'Apache.

Il faut que la directive AllowOverride d'un répertoire parent contienne l'option AuthConfig.

Les directives à placer dans le .htaccess sont les suivantes :

AuthType basic 
type d'authentification communément adopté mais peu sécurisé
AuthName "Mon message" 
affichera le texte comme invite dans la boîte de dialogue
AuthUserFile /etc/apache2/my_passwd 
indique où vont se trouver les mots de passe
Require valid-user 
précise qu'il faut un compte dans le fichier de mots de passe pour accéder au répertoire

On peut aussi utiliser Require user toto sasa pour n'autoriser que les comptes toto et sasa.

Le type d'authentification basic fait circuler les mots de passe en clair. Il existe d'autres types plus sécurisés comme digest, qu'il est recommandé de combiner à HTTPS. Voir l'article sur wikipédia pour plus de détails sur le fonctionnement.

La première requête adressée à ce répertoire protégé provoquera l'affichage d'une boîte de dialogue par laquelle l'utilisateur devra s'identifier (nom et mot de passe) :

  • Si le mot de passe saisi est invalide, la boite de dialogue s'affichera de nouveau.
  • S'il est valide, le navigateur l'enregistre et ne le demandera plus.

Il faudra relancer le navigateur pour qu'il le demande de nouveau.

Fichier de mots de passe[modifier | modifier le wikicode]

Pour créer un fichier stockant les mots de passe permettant de lire un site, nommé /etc/apache2/default-passwd avec comme 1er utilisateur toto, on utilisera la commande

htpasswd -c /home/user/www/.htpasswd toto

Pour ajouter ou modifier un utilisateur à un fichier de mots de passe existant :

htpasswd /home/user/www/.htpasswd sasa

Pour que le .htaccess active le .htpasswd, y ajouter les directives :

 AuthName "Page protégée"
 AuthType Basic
 AuthUserFile "/home/user/www/.htpasswd"
 Require valid-user
Attention !

Logo Cette protection ne tient pas compte des robots qui essaient tous les mots de passe un par un. Il convient donc de l'utiliser en complément d'un bon pare-feu (ex : iptables).


Références[modifier | modifier le wikicode]