« Apache/Sécurité » : différence entre les versions
| Ligne 13 : | Ligne 13 : | ||
<IfModule mod_authz_core.c> |
<IfModule mod_authz_core.c> |
||
<RequireAny> |
<RequireAny> |
||
Require all denied |
Require all denied |
||
Require ip 127.0.0.1 |
Require ip 127.0.0.1 |
||
Require ip 127.0.0.2 |
Require ip 127.0.0.2 |
||
| Ligne 23 : | Ligne 23 : | ||
=== whitelist avec allow (obsolète en Apache 2.4) === |
=== whitelist avec allow (obsolète en Apache 2.4) === |
||
<source lang=apache> |
<source lang="apache"> |
||
<Directory /usr/share/phpmyadmin/> |
<Directory /usr/share/phpmyadmin/> |
||
<IfModule mod_access_compat.c> |
<IfModule mod_access_compat.c> |
||
| Ligne 36 : | Ligne 36 : | ||
;<code>order allow, deny</code> : commence par les autorisation puis démarre les interdictions au risque d'interdire ce qui était autorisé. |
;<code>order allow, deny</code> : commence par les autorisation puis démarre les interdictions au risque d'interdire ce qui était autorisé. |
||
;<code>order deny, allow</code> : le contraire est moins restrictif. |
;<code>order deny, allow</code> : le contraire est moins restrictif. |
||
=== blacklist avec Require<ref>https://httpd.apache.org/docs/2.4/fr/upgrading.html</ref> === |
|||
<source lang="apache"> |
|||
<Directory /usr/share/phpmyadmin/> |
|||
<IfModule mod_authz_core.c> |
|||
Require all granted |
|||
Require not ip 127.0.0.1 |
|||
</IfModule> |
|||
</Directory> |
|||
</source> |
|||
=== blacklist avec deny (obsolète en Apache 2.4) === |
|||
<source lang="apache"> |
|||
<Directory /usr/share/phpmyadmin/> |
|||
<IfModule mod_access_compat.c> |
|||
order allow,deny |
|||
allow from all |
|||
deny from 127.0.0.1 |
|||
</IfModule> |
|||
</Directory> |
|||
</source> |
|||
== Protection par mot de passe == |
== Protection par mot de passe == |
||
Version du 19 novembre 2019 à 09:58
De nombreux robots tentent quotidiennement de pirater des bases de données (par exemple via PhpMyAdmin ou WordPress). Pour s'en prémunir on peut jouer sur plusieurs critères.
Par exemple, pour interdire de visualiser les fichiers d'un répertoire qui n'a pas d'index (ex : .html, .php), ajouter le code : Options -Indexes.
Protection par provenance
N'autoriser que deux IP à lire ces répertoires :
whitelist avec Require[1]
<Directory /usr/share/phpmyadmin/>
<IfModule mod_authz_core.c>
<RequireAny>
Require all denied
Require ip 127.0.0.1
Require ip 127.0.0.2
</RequireAny>
</IfModule>
</Directory>
whitelist avec allow (obsolète en Apache 2.4)
<Directory /usr/share/phpmyadmin/>
<IfModule mod_access_compat.c>
deny from all
allow from 127.0.0.1
allow from 127.0.0.2
</IfModule>
</Directory>
Si les plages d'autorisation chevauchent celles d'interdiction, il est possible de préciser leur précédence (l'ordre des lignes dans le fichier ne change rien) :
order allow, deny- commence par les autorisation puis démarre les interdictions au risque d'interdire ce qui était autorisé.
order deny, allow- le contraire est moins restrictif.
blacklist avec Require[2]
<Directory /usr/share/phpmyadmin/>
<IfModule mod_authz_core.c>
Require all granted
Require not ip 127.0.0.1
</IfModule>
</Directory>
blacklist avec deny (obsolète en Apache 2.4)
<Directory /usr/share/phpmyadmin/>
<IfModule mod_access_compat.c>
order allow,deny
allow from all
deny from 127.0.0.1
</IfModule>
</Directory>
Protection par mot de passe
Configuration de l'authentification
Il est impératif que la modification des paramètres d'authentification soit autorisée dans la configuration d'Apache.
Il faut que la directive AllowOverride d'un répertoire parent contienne l'option AuthConfig.
Les directives à placer dans le .htaccess sont les suivantes :
AuthType basic- type d'authentification communément adopté mais peu sécurisé
AuthName "Mon message"- affichera le texte comme invite dans la boîte de dialogue
AuthUserFile /etc/apache2/my_passwd- indique où vont se trouver les mots de passe
Require valid-user- précise qu'il faut un compte dans le fichier de mots de passe pour accéder au répertoire
On peut aussi utiliser Require user toto sasa pour n'autoriser que les comptes toto et sasa.
Le type d'authentification basic fait circuler les mots de passe en clair. Il existe d'autres types plus sécurisés comme digest, qu'il est recommandé de combiner à HTTPS. Voir l'article sur wikipédia pour plus de détails sur le fonctionnement.
La première requête adressée à ce répertoire protégé provoquera l'affichage d'une boîte de dialogue par laquelle l'utilisateur devra s'identifier (nom et mot de passe) :
- Si le mot de passe saisi est invalide, la boite de dialogue s'affichera de nouveau.
- S'il est valide, le navigateur l'enregistre et ne le demandera plus.
Il faudra relancer le navigateur pour qu'il le demande de nouveau.
Fichier de mots de passe
Pour créer un fichier stockant les mots de passe permettant de lire un site, nommé /etc/apache2/default-passwd avec comme 1er utilisateur toto, on utilisera la commande
htpasswd -c /home/user/www/.htpasswd toto
Pour ajouter ou modifier un utilisateur à un fichier de mots de passe existant :
htpasswd /home/user/www/.htpasswd sasa
Pour que le .htaccess active le .htpasswd, y ajouter les directives :
AuthName "Page protégée"
AuthType Basic
AuthUserFile "/home/user/www/.htpasswd"
Require valid-user
Cette protection ne tient pas compte des robots qui essaient tous les mots de passe un par un. Il convient donc de l'utiliser en complément d'un bon pare-feu (ex : iptables).