L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- doc:reseau:apache2:tp01 [22/09/2014 07:14]
Hypathie [Configurations d'un site web]
+++ doc:reseau:apache2:tp01 [23/09/2014 14:11]
Hypathie [Sécuriser son site web]
@@ Ligne 12: / Ligne 12: @@
 **Nota : Ce wiki est écrit par une débutante **
-Contributeurs, merci de compléter [[atelier:chantier:apache2#securiser-son-site|la partie sur la sécurité]] ! FIXME
+Contributeurs, merci de compléter [[atelier:chantier:apache2#securiser-son-site-web|la partie sur la sécurité]] ! FIXME
 ===== Introduction =====
 Ce qui est mis en œuvre ici concerne une utilisation d'un serveur apache sur un réseau local qui ne pointe pas un nom de domaine acquis mais fictif.\\
@@ Ligne 118: / Ligne 118: @@
 <code root>ls -l /etc/apache2/sites-enabled/000-default</code>
-<code>lrwxrwxrwx 1 root root 26 sept. 19 06:06 /etc/apache2/sites-enabled/000-default -> ../sites-available/default</code>
+<code>lrwxrwxrwx 1 root root 26 sept. 19 06:06\
+ /etc/apache2/sites-enabled/000-default -> ../sites-available/default</code>
 <note>
@@ Ligne 259: / Ligne 260: @@
 </code>
-====Sécuriser son site ====
+===== Installer le module php=====
+===Installer libapache2-mod-php5 ===
+Ce paquet casse le MPM worker(([[http://httpd.apache.org/docs/2.2/mod/worker.html]])) et engendre l'installation du MPM prefork(([[http://httpd.apache.org/docs/2.2/mod/prefork.html]])).\\
+<code root>apt-get install libapache2-mod-php5</code>
+Une fois l'installation effectuée on peut vérifier que php5 est apparu dans /etc/apache2/mod-available.
+<code root>ls -l /etc/apache2/mods-available/php5*</code>
+<code>-rw-r--r-- 1 root root 898 août  21 10:49 /etc/apache2/mods-available/php5.conf
+-rw-r--r-- 1 root root  59 août  21 10:49 /etc/apache2/mods-available/php5.load</code>
+Dans /etc/apache2/mod-enabled, ce sont des liens symboliques qui activent ce module:
+<code root>ls -l /etc/apache2/mods-enabled/php5*</code>
+<code>lrwxrwxrwx 1 root root 27 sept. 20 11:40\
+ /etc/apache2/mods-enabled/php5.conf -> ../mods-available/php5.conf
+lrwxrwxrwx 1 root root 27 sept. 20 11:40\
+ /etc/apache2/mods-enabled/php5.load -> ../mods-available/php5.load</code>
+-> Puisque les liens sont là, le module est activé.
+===Activer/désactiver un module ===
+  * ''a2enmod'' : (apache2 enable module) : active un module apache2
+  * ''a2dismod'' : (apache2 disable module) : désactive un module apache2
+Le module est activé par défaut, mais si ce n'était pas le cas :
+<code root>a2enmod php5</code>
+Si on active ou désactive un module ne pas oublier après l'opération de réactiver apache : ''service apache2 restart''
+===Créer la page de test ===
+<code root>mv /var/www/index.html /var/www/index.php</code>
+<code root>vim /var/www/index.php</code>
+<code>
+<html>
+ <body>
+  <h1>It works!</h1>
+  <p>This is the default web page for this server.</p>
+  <?php
+echo "La date du jour est " . date("d/m/Y") . "!\n";
+  ?>
+ </body>
+</html>
+</code>
+  * Recharger apache :
+<code root>service apache2 restart</code>
+  * Tester en tapant dans le navigateur :
+''http://ip-du-serveur/''
+<code>It works!
+This is the default web page for this server.
+La date du jour est 20/09/2014! </code>
+Tous les outils sont en place pour apprendre les langages html et php ! 8-)
+=====Sécuriser son site web=====
+====Sécuriser Apache2 ====
 Ce n'est là qu'un minimum et non une sécurisation optimale.
 FIXME
-===Éditer le fichier /etc/apache2/conf.d/security ===
+====Diffuser le minimum d'information sur apache ====
-  * Il s'agit de diffuser le minimum d'information sur apache.
+  * Éditer le fichier /etc/apache2/conf.d/security.
 <code root>vim /etc/apache2/conf.d/security</code>
@@ Ligne 281: / Ligne 350: @@
 <code root>service apache2 restart</code>
-===Limiter l'accès à toute l'arborescence du système Linux===
+====Modifier certaines options <Directory> de son Virtualhost====
-  * Désactiver le site "sites-available/efault" :
+  * Désactiver le site "sites-available/default" :
 <code root>a2dissite default</code>
-  * Ensuite on va modifier les directives du site "/etc/apache2/sites-available/monsite.com" :
+  * Désactiver le site "monsite.com" :
-Pour ce faire, on le désactive d'abord :
 <code root>a2dissite monsite.com</code>
-Et on recharge : ''service apache2 reload''.\\
+  * Ensuite on va modifier les directives du site "/etc/apache2/sites-available/monsite.com" :
+On édite "/etc/apache2/sites-available/monsite.com" :
-Puis on édite "/etc/apache2/sites-available/monsite.com".
 <code root>vim /etc/apache2/sites-available/monsite.com</code>
@@ Ligne 303: / Ligne 372: @@
         ServerAlias www.monsite.com
-        DocumentRoot /var/www/monsite.com/public_html
+        DocumentRoot /var/www/monsite.com
         <Directory />
-                Options FollowSymLinks
+                Options -FollowSymLinks
                 AllowOverride None
         </Directory>
@@ Ligne 326: / Ligne 395: @@
 > ''Options -ExecCGI'' : Pour désactiver l'option permettant à apache l'utilisation de scripts CGI. Désactiver cette option seulement si on n'utilise pas de script CGI(([[http://fr.wikipedia.org/wiki/Common_Gateway_Interface]])).
-  * On réactive le site :
+> Si on ne peut pas mettre l'option ''-FollowSymLinks'' dans le fichier "sites-available/default", on peut dans celui de son site.
-<code root>a2ensite monsite.com</code>
-Et comme indiqué : ''service apache2 reload''.
+> S'il s'agit d'un usage personnel local, on peut restreindre l'accès au serveur avec les IP des clients du réseau local.
+Pour connaître la signification des différentes options à mettre soit dans "sites-avaible" soit dans le fichier de son site voir : [[http://httpd.apache.org/docs/2.2/mod/core.html]]
-====Développer son site web dans un /home/====
+====Création d'un nouvelle utilisateur du système Linux====
-Il n'est pas recommandé de travailler directement dans des répertoires du serveur. Un lien symbolique depuis le répertoire principal du serveur vers un répertoire du dossier personnel est préférable.
+On développera son site dans le répertoire de cet utilisateur. Il est déconseillé de développer son site dans /var/www, surtout si la partition est plus petite que /home/ !
-===On désactive "monsite" ===
-<code root>a2dissite monsite.com</code>
-Et on recharge : ''service apache2 reload''.\\
+Cela évitera aussi de mettre en place le module [[http://httpd.apache.org/docs/current/fr/mod/mod_userdir.html|userdir]], ce qui est déconseillé par la documentation d'apache(("De même, soyez méfiant en jouant avec la directive UserDir"))
-===Création d'un compte système pour le Virtualhost à créer===
   * Par exemple du nom de "web"
 <code root>adduser --system web --ingroup www-data</code>
@@ Ligne 346: / Ligne 412: @@
 <code root> passwd web</code>
-  * On crée les fichiers du site web, par exemple du nom de "pegaseous.com":
+  * On crée les fichiers du site web, "monsite.com" dans /home/web/:
-<code>mkdir -p pegaseous.com/public_html</code>
+<code root>cd /home/web/</code>
+<code>mkdir -p monsite.com/public_html</code>
-  * On corrige l'appartenance et les droits :
+  * On édite un index pour le dossier /home/web/monsite.com/public_html/  :
+Le module php5 est en place et a été testé, donc on peut créer un "index.php".
-<code root>chown -R root:www-data /home/web/ && chmod -R 755 /home/web/</code>
+<code root>vim /home/web/monsite.com/public_html/index.php</code>
+<code><html>
+ <body>
+ <h1>Bienvenue sur monsite.com</h1>
+  <p>Site en cours de réalisation !</p>
+  <?php
+  echo "La date du jour est " . date("d/m/Y") . "!\n";
+  ?>
+ </body>
+</html></code>
-  * On édite un index.html :
+====Restreindre l'accès à "monsite.com" par login et mot de passe apache2====
-<code root>vim /home/web/pegaseous.com/public_html/index.html</code>
+La création d'un mot de passe sécurise un peu l'accès du site qu'on va crée pour le nouvel virtualhost.\\
+**Pour ce faire on va créer en correspondance au utilisateur "web" du système Linux, un mot de passe apache avec la commande ''htpasswd''**.
-  * On crée un lien symbolique vers /var/www :
+===Création d'un mot de passe pour accéder à "monsite.com"===
-<code root>ln -s /home/web/pegaseous.com/ /var/www/pegaseous.com</code>
+Le dossier /etc/local est un bon endroit pour créer les fichiers de mots de passe apache.
-  * On édite un fichier /etc/apache2/sites-available/pegaseous.com :
+<code root>cd /usr/local/ && ls</code>
-Pour aller plus vite on peut se servir d'un fichier "sites-available" existant qu'on modifiera. Par exemple celui du site "monsite.com".
+<code>bin  etc  games  include  lib  man  sbin  share  src</code>
-Si on a suivi le wiki du début :
+  * Il faut créer un dossier apache du nom de son choix :
-<code>cp /etc/apache2/sites-available/monsite.com /etc/apache2/sites-available/pegaseous.com</code>
+Par exemple "passwd"
+<code root>mkdir -p apache/passwd && cd apache/passwd</code>
-Si on n'a pas de fichier "sites-available/monsite.com" : ''vim /etc/apache2/sites-available/pegaseous.com'' et on y colle ce qui suit.
+  * Il faut générer des mots de passe pour l'utilisateur apache2:
+La commande ''htpasswd'' va créer un fichier qui contiendra utilisateur apache /mot de passe.
+<code root>htpasswd -c passwords web</code>
+<code>New password:
+Re-type new password:
+Adding password for user web</code>
-<code text><VirtualHost *:80>
+-> ''-c'' pour la première fois qu'on crée un mot de passe. Si on l'utilisait une deuxième fois pour le même fichier "passwords", pour un deuxième utilisateur, on écrasera le contenu du fichier, et on perdrait le mot de passe du premier utilisateur.  Donc pour un éventuel deuxième utilisateur "toto": ''htpasswd passwords toto''.\\
-        ServerAdmin webmaster@localhost
+-> le mot de passe est chiffré.
-        ServerName pegaseous.com
-        ServerAlias www.pegaseous.com
-        DocumentRoot /var/www/pegaseous.com
+  * On peut aussi créer un groupe par exemple aussi dans le même dossier /usr/local/apache/passwd/
+Par exemple du nom de "groups" :
+<code root>vim groups</code>
+<code>goupe1: web</code>
+====Modifier les fichiers des sites actifs de /etc/apache2/sites-available ====
+Pour restreindre l'accès à "monsite.com", il faut modifier d'abord le virtualhost "/etc/apache2/sites-available/default"
+===Pour "/etc/apache2/sites-available/default"  ===
+Cela est nécessaire pour restreindre l'accès du site qui est développé dans le répertoire de l'utilisateur /home/web/monsite.com qu'on a créé.
+  * On modifie "/etc/apache2/sites-available/default" comme ceci :
+<code root>vim /etc/apache2/sites-available/default</code>
+<code>
+<VirtualHost *:80>
+        ServerAdmin webmaster@localhost
+        DocumentRoot /var/www
         <Directory />
                 Options FollowSymLinks
                 AllowOverride None
+                Require all denied
         </Directory>
         <Directory /var/www/>
-                Options -Indexes
+                Options Indexes FollowSymLinks MultiViews
-                Options +FollowSymLinks
+                AllowOverride AuthConfig
-               Options -Includes
-                Options -ExecCGI
-                Options MultiViews
-                AllowOverride None
                 Order deny,allow
                 deny from all
                 allow from 192.168.0.0/24
+                AuthType Basic
+                AuthName "Ma zone est restreinte !"
+                AuthBasicProvider file
+                AuthUserFile /usr/local/apache/passwd/passwords
+                AuthGroupFile /usr/local/apache/passwd/groups
+                Require valid-user
         </Directory>
-        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
-        <Directory "/usr/lib/cgi-bin">
-                AllowOverride None
-                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
-                Order allow,deny
-                Allow from all
-        </Directory>
-        ErrorLog ${APACHE_LOG_DIR}/error.log
-        # Possible values include: debug, info, notice, warn, error, crit,
-        # alert, emerg.
-        LogLevel warn
-        CustomLog ${APACHE_LOG_DIR}/access.log combined
-</VirtualHost>
 </code>
-  * On active le site pegaseous.com :
+<note>
-<code root>a2ensite pegaseous.com</code>
+**Bien remarquer que pour pouvoir ajouter cette directive**\\
+-> on a mis ''AllowOverride AuthConfig'' à la place de ''AllowOverride None'' seulement dans la directive "<Directory /var/www/>".\\ Mais laisser à ''None'' dans "<Directory />"(( afin d'éviter l'utilisation des fichiers ".htaccess" qui permettent de passer outre les fonctionnalités de sécurité que vous avez configurées.))\\ Mais il faut mettre ''AuthConfig'' pour utiliser " AuthName" c'est-à-dire les mots de passe apache.
-Et on recharge : ''service apache2 reload''.
-  * Enfin on teste tout ça
+**Pour autoriser l'accès à tous les utilisateurs** qui ont un mot de passe apache :\\
-Au niveau du navigateur : ''http://ip-du-serveur/pegaseous.com''
+-> ''Require valid-user''\\
-<code>Index of /pegaseous.com
+**On aurrait pu mettre** :\\
-[ICO]	Name	Last modified	Size	Description
+-> ''Require user web''\\
-[DIR]	Parent Directory	 	-
+-> ''Require group groupe1''\\
-[DIR]	public_html/	20-Sep-2014 09:15 	-
-</code>
-Si on clique sur : ''public_html''
+**Pour sécuriser l'accès au système de fichier** :\\
+''Require all denied'' : interdire aux clients de parcourir l'ensemble du système de fichiers. Ceci va interdire l'accès par défaut à tous les fichiers du système de fichiers; Ensuite on autorise section par section. Voir [[http://httpd.apache.org/docs/trunk/fr/misc/security_tips.html]] et [[http://httpd.apache.org/docs/2.2/mod/core.html#require| require directive]]
-<code>Bienvenue sur pegaseous.com
+</note>
-Site en cours de réalisation !</code>
+  * Pour "/etc/apache2/sites-available/monsite.com" : Il n'y a pas à modifier quoique ce soit.
-> On peut réactiver "monsite" si on le souhaite.
+===On supprime le fichier "monsite.com" de /var/www/ ===
-> Dans ce cas on peut accéder à "monsite" en tapant ''http://ip-du-serveur/monsite.com'';
+(Si on a suivi précédemment : [[atelier:chantier:apache2#creation-du-site-web-dans-var-www|création de "monsite.com" dans /var/www/]])
-> ou à "pegaseous.com" en tapant ''http://ip-du-serveur/pegaseous.com''.
+<code root>cd /var/www/</code>
+<code root>rm -r monsite.com</code>
-Il reste à ajouter un module par exemple pour le php.
+===On crée un lien symbolique à la place===
-===== Installer le module php=====
+Le nom symbolique doit avoir pour nom celui du site ("monsite.com") et il faut le placer dans /var/www/ et le faire pointer vers les répertoires et fichiers où le site est développé (/home/web/monsite.com/) :
-===Installer libapache2-mod-php5 ===
-Ce paquet casse le MPM worker(([[http://httpd.apache.org/docs/2.2/mod/worker.html]])) et engendre l'installation du MPM prefork(([[http://httpd.apache.org/docs/2.2/mod/prefork.html]])).\\
-<code root>apt-get install libapache2-mod-php5</code>
+<code root>ln -s /home/web/monsite.com/ /var/www/monsite.com</code>
+====Vérifier l'appartenance et les droits des fichiers utilisés par "apache"====
-Une fois l'installation effectuée on peut vérifier que php5 est apparu dans /etc/apache2/mod-available.
+===Modifier le groupe de /var/www ===
+Le groupe www-data ne doit pas être propriétaire de /var/www/ mais ce répertoire peut appartenir au groupe www-data. L'idée est ainsi de diminuer au maximum les droits du groupe www-data, tout en laissant possible la consultation du site web.
-<code root>ls -l /etc/apache2/mods-available/php5*</code>
+<code root>chown -R root:www-data /var/www/*</code>
-<code>-rw-r--r-- 1 root root 898 août  21 10:49 /etc/apache2/mods-available/php5.conf
--rw-r--r-- 1 root root  59 août  21 10:49 /etc/apache2/mods-available/php5.load</code>
-Dans /etc/apache2/mod-enabled, ce sont des liens symboliques qui activent ce module:
+===On vérifie les droits POSIX de /var/www/ ===
-<code root>ls -l /etc/apache2/mods-enabled/php5*</code>
+<note important>
-<code>lrwxrwxrwx 1 root root 27 sept. 20 11:40 /etc/apache2/mods-enabled/php5.conf -> ../mods-available/php5.conf
+A priori le fichier /var/www/index.php, au même titre que n'importe quelle page web accessible depuis un navigateur web, devrait avoir les droits suivants :
-lrwxrwxrwx 1 root root 27 sept. 20 11:40 /etc/apache2/mods-enabled/php5.load -> ../mods-available/php5.load</code>
--> Puisque les liens sont là, le module est activé.
+<code>-rw-r----- 1 root www-data 4096 sept. 22 11:47 index.php</code>
-===Activer/désactiver un module ===
+On utilise les droits suivants :
+  * droits en lecture <nowiki>(r)</nowiki> écriture (w) sur les fichiers réguliers,
+  * droits en lecture <nowiki>(r)</nowiki> écriture (w) exécution (x) sur les répertoires.
+</note>
-  * ''a2enmod'' : (apache2 enable module) : active un module apache2
+  * **Pour le répertoire /var/www** , il faut donc :\\ ''drwxr-xr-x  2 root root  4096 sept. 22 11:47 www''
-  * ''a2dismod'' : (apache2 disable module) : désactive un module apache2
+<code root>chmod 755 /var/www</code>
-Si on active ou désactive un module ne pas oublier après l'opération de réactiver apache : ''service apache2 restart''
+  * **Pour /var/www/index.php**, il faut donc :\\ ''-rw-r----- 1 root www-data 4096 sept. 22 11:47 index.php''
+<code root>chmod 640 /var/www/index.php</code>
-===Créer la page de test ===
+  * **Pour /home/web/monsite.com**, il faut donc :\\ ''drwxr-xr-x 3 root www-data 4096 sept. 22 11:44 monsite.com'':
+<code root>chmod 755 /home/web/monsite.com/</code>
-<code>mv /var/www/index.html /var/www/index.php</code>
+  * **Pour /home/web/monsite.com/public_html**, il faut donc :\\ ''drwxr-xr-x 2 root www-data 4096 sept. 22 11:44 public_html'':
-<code root>vim /var/www/index.php</code>
+<code root>chmod 755 /home/web/monsite.com/public_html/</code>
-<code>
-<html>
- <body>
-  <h1>It works!</h1>
-  <p>This is the default web page for this server.</p>
-  <?php
-echo "La date du jour est " . date("d/m/Y") . "!\n";
-  ?>
- </body>
-</html>
-</code>
-  * Recharger apache :
+  * **Pour /home/web/monsite.com/public_html/index.php**, il faut donc :\\ ''-rw-r----- 1 root www-data 4096 sept. 22 11:44 index.php''
+<code root>chown root:www-data /home/web/monsite.com/public_html/index.php\
-<code root>service apache2 restart</code>
+ && chmod 640 /home/web/monsite.com/public_html/index.php</code>
-  * Tester en tapant dans le navigateur :
+  * **Pour le lien symbolique /var/www/monsite.com** : on ne peut pas modifier ces droits mais ce n'est pas grave. Ce qui compte c'est le fichier vers lequel pointe un lien symbolique.
-''http://ip-du-serveur/''
-<code>It works!
+===On vérifie depuis son navigateur===
-This is the default web page for this server.
+  * On ré-active le site "default"
-La date du jour est 20/09/2014! </code>
-Puisque tout fonctionne, pour utiliser php dans les autres sites, il n'y a qu'à modifier le nom de leur page d'index.html en index.php et entrer du code php bien sûr.
+<code root>a2ensite default</code>
-  * Par exemple pour "pegaseous" :
+  * On ré-active le site "monsite.com"
-<code root>mv /home/web/pegaseous.com/public_html/index.html /home/web/pegaseous.com/public_html/index.php</code>
+<code root>a2ensite monsite.com</code>
-<code root>vim /home/web/pegaseous.com/public_html/index.php</code>
+  * On recharge apache2 :
-<code><html>
- <body>
- <h1>Bienvenue sur pegaseous.com</h1>
-  <p>Site en cours de réalisation !</p>
-<?php
-echo "La date du jour est " . date("d/m/Y") . "!\n";
-  ?>
- </body>
-</html></code>
-  * Recharger apache :
 <code root>service apache2 reload</code>
-  * Tester en tapant dans le navigateur :
+Enfin depuis son navigateur :\\ ''http://ip-serveur/monsite.com/''\\
-''http://ip-du-serveur/pegaseous.com''
-et cliquer sur ''public_html/'' :
+{{http://pix.toile-libre.org/upload/img/1411461721.png?250}} -> {{http://pix.toile-libre.org/upload/img/1411461425.png?250}}
-<code>Bienvenue sur pegaseous.com
-Site en cours de réalisation !
+-) **Le login du compte apache (nom de l'utilisateur du système Linux) est demandé ainsi que son mot de passe et on peut accéder à ses pages d'index !**
-La date du jour est 20/09/2014! </code>
-Tous les outils sont en place pour apprendre les langages html et php ! 8-)

doc/reseau/apache2/tp01.txt · Dernière modification: 01/11/2019 08:43 par smolski

Debian-facile

Différences

Pied de page des forums