L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- doc:reseau:apache2:tp01 [25/09/2014 09:04]
Hypathie [OpenSSL : créer un certificat avec apache2]
+++ doc:reseau:apache2:tp01 [26/09/2014 04:38]
Hypathie [Sécuriser son site web]
@@ Ligne 10: / Ligne 10: @@
   * Commentaires sur le forum : [[:http://debian-facile.org/viewtopic.php?pid=98170#p98170| Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !))
-**Nota : Ce wiki est écrit par une débutante **
-Contributeurs, merci de compléter/vérifier [[atelier:chantier:apache2?&#verifier-l-appartenance-et-les-droits-des-fichiers-utilises-par-apache|la partie sur les droits posix sur les fichiers utiles à apache]] ! FIXME
 ===== Introduction =====
 Ce qui est mis en œuvre ici concerne une utilisation d'un serveur apache sur un réseau local qui ne pointe pas un nom de domaine acquis mais fictif.\\
@@ Ligne 18: / Ligne 17: @@
 **Avant tout, il faut savoir que monter un serveur web pour de l'auto-hébergement présente des risques.** Vous courrez par exemple le risque de donner un accès à tout votre réseau local à un pirate qui chercherait à prendre la main sur votre identité pour commettre des attaques illégales en votre nom.\\
-Ce wiki a pour objet de proposer une initiation à apache2, et déploie son installation sur une machine en vue de l'apprentissage; machine virtuelle qu'il faudra éteindre en dehors des TP, voire détruire plutôt que la laisser dans l'oubli sur un système. Dans tous les cas se documenter sur la sécurité.\\
+Ce wiki a pour objet de proposer une initiation à apache2, et déploie son installation sur une machine virtuelle.
 Si vous choisissez de déployer ce qui suit sur une machine réelle faisant office de serveur personnel en vue d'auto-hébergement, l'auteur et debian-facile décline toute responsabilité sur les conséquences fâcheuses qui pourraient en découler.\\
-Prenez le temps d'apprendre à sécuriser un serveur web avant de vous lancer dans l’auto-hébergement ! 8-)
+Prenez le temps d'apprendre à sécuriser un serveur avant de vous lancer dans l’auto-hébergement ! 8-)
 ===Pré-requis ===
@@ Ligne 136: / Ligne 134: @@
 </note>
-===Méthode pour créer son site avec apache2 ===
-Cette configuration par défaut, indique donc comment s'y prendre pour créer un site web pris en charge par apache2.
-  * **D'abord, un fichier contenant le code source de la page web**:
-Il doit être créé dans /var/www/ :  /var/www/dossier-du-site/fichier.html.
-  * **Ensuite pour que apache gère ce site** :
-Il faudra créer un utilisateur dans la base de apache ainsi qu'un fichier correspondant à la page web de /var/www/dossier-du-site/fichier.html dans /etc/apache2/sites-available/dossier-du-site.
-  * **Enfin pour activer ce site** :
-Il faudra créer un lien symbolique dans /etc/apache2/sites-available/ pointant vers /etc/apache2/sites-available/dossier-du-site.
 **//Puisque tout est bien clair, créons notre propre site web.//**
@@ Ligne 401: / Ligne 387: @@
 Pour connaître la signification des différentes options à mettre soit dans "sites-avaible" soit dans le fichier de son site voir : [[http://httpd.apache.org/docs/2.2/mod/core.html]]
-====Création d'un nouvelle utilisateur du système Linux====
+====Création d'un nouvel utilisateur du système Linux====
 On développera son site dans le répertoire de cet utilisateur. Il est déconseillé de développer son site dans /var/www, surtout si la partition est plus petite que /home/ !
@@ Ligne 591: / Ligne 577: @@
 ====Vérifier l'appartenance et les droits des fichiers utilisés par "apache"====
-FIXME
 ===Modifier le groupe de /var/www ===
@@ Ligne 605: / Ligne 590: @@
 On utilise les droits suivants :
-  * droits en lecture <nowiki>(r)</nowiki> écriture (w) sur les fichiers réguliers,
+  * __Sur les fichiers réguliers__ : pour l'utilisateur root, droits en lecture <nowiki>(r)</nowiki> écriture (w) ; pour le groupe, droit de lecture seulement.
-  * droits en lecture <nowiki>(r)</nowiki> écriture (w) exécution (x) sur les répertoires.
+  * __Sur les répertoires__ : pour l'utilisateur root, droits en lecture <nowiki>(r)</nowiki> écriture (w) exécution (x) ; pour le groupe et les autres droit en lecture et exécution.
 </note>
-  * **Pour le répertoire /var/www** , il faut donc :\\ ''drwxr-xr-x  2 root root  4096 sept. 22 11:47 www''
+  * **Pour les répertoires /var/www et /home/web** :
-<code root>chmod 755 /var/www</code>
+<code root>chmod -R 755 /var/www/ /home/web/</code>
-  * **Pour /var/www/index.php**, il faut donc :\\ ''-rw-r----- 1 root www-data 4096 sept. 22 11:47 index.php''
-<code root>chmod 640 /var/www/index.php</code>
-  * **Pour /home/web/monsite.com**, il faut donc :\\ ''drwxr-xr-x 3 root www-data 4096 sept. 22 11:44 monsite.com'':
-<code root>chmod 755 /home/web/monsite.com/</code>
-  * **Pour /home/web/monsite.com/public_html**, il faut donc :\\ ''drwxr-xr-x 2 root www-data 4096 sept. 22 11:44 public_html'':
+  * **Pour les fichiers d'index :**
-<code root>chmod 755 /home/web/monsite.com/public_html/</code>
+<code root>chmod -R 644 /var/www/index.php /home/web/monsite.com/public_html/index.php</code>
-  * **Pour /home/web/monsite.com/public_html/index.php**, il faut donc :\\ ''-rw-r----- 1 root www-data 4096 sept. 22 11:44 index.php''
+  * **Pour les propriétaires des fichiers d'index** :
-<code root>chown root:www-data /home/web/monsite.com/public_html/index.php\
+<code root>chown root:www-data /var/www/index.php\
- && chmod 640 /home/web/monsite.com/public_html/index.php</code>
+ /home/web/monsite.com/public_html/index.php</code>
   * **Pour le lien symbolique /var/www/monsite.com** : on ne peut pas modifier ces droits mais ce n'est pas grave. Ce qui compte c'est le fichier vers lequel pointe un lien symbolique.
@@ Ligne 656: / Ligne 636: @@
   LogLevel warn
-**Ainsi paramétrer apache inscrit des logs d'erreur.**
+**Ainsi paramétrer apache inscrit les événements anormaux dans l'un des fichiers du répertoire /var/log/apache2/error.log.**
-On peut mettre l'un des neuf niveau d'alerte, pour être alerter de la moindre information jusqu'au alerte grave :
+On peut mettre l'un des neuf niveau d'alerte, pour être alerter de la moindre information jusqu'au alerte grave :\\
  -''trace'' : traçage des informations de différents niveaux (produit une grande quantité d'informations);\\
  - ''debug'' : informations de débogage qui peut être utile pour repérer où un problème ;\\
@@ Ligne 670: / Ligne 650: @@
 -> Par défaut, on est informé à partir du niveau choisi jusqu'au niveau le plus grave.\\
-===Où Apache conserve-t-il ses journaux?  ===
+===Comment le système de journalisation est-il configuré ?  ===
 Dans le fichier général **/etc/apache2/apache2.conf** une ligne indique le fichier où sont consigné les logs :
@@ Ligne 741: / Ligne 721: @@
   * Le port par défaut est 443 :\\
-Dans apache il faut ajouter une directive ''Listen 443'' dans le fichier de configuration d'apache /etc/sites-availables/default-ssl.
   * Son utilisation se fait pour apache2 via OpenSSL, avec le module mod_ssl:
@@ Ligne 788: / Ligne 767: @@
 Il doit y avoir ''ssl.conf'' et ''ssl.load''. Sinon il faut **installer** (ne pas l'activer tout de suite).\\
-====Configurer un virualhost ssl====
+====Création des clé et certificat====
-===Création des clé et certificat ===
 Pour cela on va se servir de l'utilitaire openssl.
@@ Ligne 797: / Ligne 775: @@
   * Création de la clé privée et du certificat :
 <note>
-__**La commande qui suit cette note, peut s'effectuer en quatre étapes:**__\\
+__**La commande qui suit cette note, raccourcit ce qui suit:**__\\
 ) **Création de la clé privée** : par exemple ''openssl genrsa 1024 > /etc/apache2/ssl/apache.key''
@@ Ligne 817: / Ligne 795: @@
 -CAcreateserial -CAserial ca.srl''\\
-Dans ce qui suit on a sauté les quatre premières étapes.\\ Mais pour créer une connexion privée et sécurisée entre le serveur et le client qui s'y connecterait, il faudrait utiliser le
+Pour créer une connexion privée et sécurisée entre le serveur et les clients qui s'y connecteraient, il faudrait procurer  de façon sécurisé le fichier ca.crt (qu'on aurait fait nous-même en suivant toutes ces étapes) aux clients (ssh par exemple), afin qu'il soit installer dans leur navigateur.\\ Par exemple avec Iceweasel :\\
+-> Edition -> préférence -> Avancé -> Afficher les certificats -> (Bouton)importer
 </note>
@@ Ligne 834: / Ligne 814: @@
 <note tip>
 __**Il faut répondre à une suite de question**__ :
-La plus importante est "Common Name": il faut répondre par le nom de domaine ou l'ip public du serveur concerné. Dans le cas de cette exemple, l'ip locale (fixe) du serveur fera l'affaire ou nom de domaine.\\
+La plus importante est "Common Name": il faut répondre par le nom de domaine ou l'ip public du serveur concerné. Dans le cas de cette exemple, l'ip locale (fixe) du serveur fera l'affaire.\\
-Par exemple :\\
+**Par exemple :**\\
 Country Name (2 letter code) [AU]:FR\\
 State or Province Name (full name) [Some-State]:France\\
-Locality Name (eg, city) []:Chambery\\
+Locality Name (eg, city) []:SaVille\\
 Organization Name (eg, company) [Internet Widgits Pty Ltd]:\\
 Organizational Unit Name (eg, section) []:\\
@@ Ligne 849: / Ligne 829: @@
 <code root>chmod 400 /etc/apache2/ssl/apache.key</code>
-===Le virtualhost "defaut-ssl" ===
+====Créer un site accessible en ssl ====
-Sur debian, c'est le fichier **/etc/apache2/sites-available/default-ssl** qui est le Virtualhost par défaut. Il faut lui créer un certificat qui servira pour le virtualhost de "monsite.com".
+Cette fois on va mettre en place une méthode plus directe que précédemment. Par exemple un site s'appelant pegaseous.com
-  * Il faut ensuite éditer le fichier /etc/apache2/sites-available/default-ssl pour ajouter le certificat et la clé privée.
+On va se servir des fichiers par défaut.\\
-<code root>vim /etc/apache2/sites-available/default-ssl</code>
+On commence par désactiver les deux fichiers /etc/apache2/sites-available/default et /etc/apache2/sites-available/default-ssl avec la commande ''a2dissite''.
-On ne va modifier que les lignes :
-<code>        #   SSLCertificateFile directive is needed.
-        SSLCertificateFile    /etc/apache2/ssl/apache.crt
-        SSLCertificateKeyFile /etc/apache2/ssl/apache.key</code>
+On crée ensuite les répertoires et fichiers où développer son site.\\
-  * Il faut activer le module ssl :
+  * Par exemple dans le répertoire d'un autre utilisateur.
-<code root>a2enmod ssl</code>
+<code root>mkdir -p /home/hypathie/www/pegaseous.com/public_html</code>
-puis
-<code root>service apache2 restart</code>
-La commande ''a2enmod ssl'' a crée dans /etc/apache2/mods-enabled, les liens symboliques, ''ssl.conf'' et ''ssl.load'' qui activent le module.\\
+ * On crée un index dans /home/hypathie/www/
+<code root>mv /var/www/index.html /home/hypathie/www/</code>
-<code root> ls /etc/apache2/mods-enabled | grep ssl.*</code>
+On peut le modifier :
-<code>
+<code root>vim /home/hypathie/www/index.html</code>
-lrwxrwxrwx 1 root root 26 sept. 23 17:34 ssl.conf -> ../mods-available/ssl.conf
+<code><html><body><h1>Ça marche!</h1>
-lrwxrwxrwx 1 root root 26 sept. 23 17:34 ssl.load -> ../mods-available/ssl.load</code>
+<p>Voici ma page d'index.</p>
+<p>YEP ! Déployée dans mon répertoire personnel !</p>
+<p>Le serveur web apache2 fonctionne.</p>
+</body></html></code>
-  * Il faut activer le site "default-ssl"
+  *On créer un contenu en php dans "pegaseous" :
-<code root>a2ensite default-ssl</code>
+<code root>vim /home/hypathie/www/pegaseous.com/public_html/index.php</code>
-<code root>service apache2 reload</code>
+<code><html>
+ <body>
+ <h1>Bienvenue sur pegaseous.com</h1>
+  <p>Site en cours de réalisation !</p>
+  <?php
+  echo "La date du jour est " . date("d/m/Y") . "!\n";
+  ?>
+ </body>
+</html>
+</code>
--> Il correspond comme le site "default" au fichier "/etc/apache2/mods-enabled/000-default
+===On pense aux droits unix sur ses répertoires et fichiers===
+<code root>chmod -R 755 /home/hypathie/www/</code>
-  * Visualiser la page par défaut dans son navigateur :
+<code root>chmod 644 /home/hypathie/www/index.html\
-<code>https://192.168.0.13/</code>
+ /home/hypathie/www/pegaseous.com/public_html/index.php</code>
-<code>It works!
+<code root>chown root:www-data /home/hypathie/www/</code>
-This is the default web page for this server.
+===Le virtualhost "defaut" ===
-La date du jour est 24/09/2014! </code>
+On doit d'abord s'occuper du fichier /etc/apache2/sites-available/default
-===Ajout du virualhost "monsite.com" ===
+<code root>vim /etc/apache2/sites-available/default</code>
-  * On désactive le site :
+<code>
-<code root>a2ensite monsite.com</code>
+<VirtualHost 192.168.0.13:80>
-  * On sauvegarde le fichier /etc/apache2/sites-available/monsite.com :
-<code root>cp /etc/apache2/sites-available/monsite.com\
- /etc/apache2/sites-available/monsite.com-OLD</code>
-  * On créer un fichier pour le virtualhost de "monsite.com" avec ssl :
-<code root>cp /etc/apache2/sites-available/default-ssl\
- /etc/apache2/sites-available/monsite.com</code>
-<code><IfModule mod_ssl.c>
-<VirtualHost *:443>
         ServerAdmin webmaster@localhost
-        ServerName monsite.com
+        ServerName pegaseous.com
-        DocumentRoot /var/www/monsite.com
+        DocumentRoot /home/hypathie/www
         <Directory />
                 Options FollowSymLinks
                 AllowOverride None
         </Directory>
-        <Directory /var/www/monsite.com/>
+        <Directory /home/hypathie/www/>
                 Options Indexes FollowSymLinks MultiViews
                 AllowOverride None
@@ Ligne 914: / Ligne 892: @@
                 allow from all
         </Directory>
         ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
         <Directory "/usr/lib/cgi-bin">
@@ Ligne 921: / Ligne 900: @@
                 Allow from all
         </Directory>
-        ErrorLog ${APACHE_LOG_DIR}/error.log
+        ErrorLog ${APACHE_LOG_DIR}/error.log
         # Possible values include: debug, info, notice, warn, error, crit,
         # alert, emerg.
         LogLevel warn
-        CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined
+        CustomLog ${APACHE_LOG_DIR}/access.log combined
+</VirtualHost>
+</code>
+  * On charge le site "default" :
+<code root>a2ensite default</code>
+  * On édite /etc/apache2/ports.conf
+Pour s'éviter d'avoir au redémarrage d'apache2 le message suivant :
+<code>service apache2 reload
+[....] Reloading web server config: apache2[Thu Sep 25 09:33:25 2014]
+ [warn] NameVirtualHost 192.168.0.13:80 has no VirtualHosts</code>
+<code root>vim /etc/apache2/ports.conf</code>
+<code>NameVirtualHost 192.168.0.13:80
+Listen 80</code>
+===Le fichier "default-ssl"===
+  * On active le module ssl:
+<code root>a2enmod ssl</code>
+  * On édite vim /etc/apache2/sites-available/default-ssl pour ajouter clé et certificat ainsi que le site déclarer dans le fichier default" :
+<code root>vim /etc/apache2/sites-available/default-ssl</code>
+<code><IfModule mod_ssl.c>
+<VirtualHost *:443>
+        ServerAdmin webmaster@localhost
-        SSLEngine on
+        ServerName monsite.com
+        DocumentRoot /home/hypathie/www
+        <Directory />
+                Options FollowSymLinks
+                AllowOverride None
+        </Directory>
+        <Directory /home/hypathie/www/>
+                Options Indexes FollowSymLinks MultiViews
+                AllowOverride None
+                Order allow,deny
+                allow from all
+        </Directory>
+#plus bas
         SSLCertificateFile    /etc/apache2/ssl/apache.crt
         SSLCertificateKeyFile /etc/apache2/ssl/apache.key
-        <FilesMatch "\.(cgi|shtml|phtml|php)$">
+#<...>
-                SSLOptions +StdEnvVars
-        </FilesMatch>
-        <Directory /usr/lib/cgi-bin>
-                SSLOptions +StdEnvVars
-        </Directory>
-        BrowserMatch "MSIE [2-6]" \
-                nokeepalive ssl-unclean-shutdown \
-                downgrade-1.0 force-response-1.0
-        # MSIE 7 and newer should be able to use keepalive
-        BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
 </VirtualHost>
 </IfModule>
 </code>
-  * On active "monsite.com" :
+Il n'y a rien d'autre à modifier.
-<code root>a2ensite monsite.com</code>
-Et on recharge apache2
-<code root>service apache2 reload</code>
-  * Dans le navigateur :
+  * On charge le fichier "default-ssl"
-''https://ip-serveur/monsite.com''
+<code root>a2ensite default-ssl</code>
-<code>Bravo !
-La mise en place d'un Virtualhost est réussie !</code>
-Et ''https://ip-serveur/monsite.com/public_html''
-<code>Bienvenue sur monsite.com
+On peut maintenant accéder au site "pegaseous.com" en tapant dans le navigateur : ''https://192.168.0.13/pegaseous.com/''.
-Site en cours de réalisation !
+Il est normal que le navigateur demande une acception pour accéder au site.
-La date du jour est 24/09/2014!</code>
-Et voilà ;-)

doc/reseau/apache2/tp01.txt · Dernière modification: 01/11/2019 08:43 par smolski

Debian-facile

Différences

Pied de page des forums