Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:apache2:tp01 [01/10/2015 11:55] milou [Configurations d'un site web] |
doc:reseau:apache2:tp01 [07/11/2015 17:49] milou [OpenSSL : créer un certificat avec apache2] |
||
|---|---|---|---|
| Ligne 5: | Ligne 5: | ||
| * Commentaires : Apprendre à configurer un serveur web sur son réseau local. | * Commentaires : Apprendre à configurer un serveur web sur son réseau local. | ||
| * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | ||
| - | * Suivi : {{tag> à-tester}} | + | * Suivi : |
| * Création par [[user>Hypathie]] le 20/09/2014 | * Création par [[user>Hypathie]] le 20/09/2014 | ||
| * Testé par [[user>Hypathie]] octobre 2014 sur Wheezy | * Testé par [[user>Hypathie]] octobre 2014 sur Wheezy | ||
| Ligne 183: | Ligne 183: | ||
| Contenant par exemple le code suivant: | Contenant par exemple le code suivant: | ||
| - | <code> | + | |
| + | <file html index.html> | ||
| <html> | <html> | ||
| <body> | <body> | ||
| Ligne 190: | Ligne 191: | ||
| </body> | </body> | ||
| </html> | </html> | ||
| - | </code> | + | </file> |
| On enregistre ! | On enregistre ! | ||
| Ligne 204: | Ligne 206: | ||
| On inscrit ceci : | On inscrit ceci : | ||
| - | <code> | + | <file config monsite.com> |
| <VirtualHost *:80> | <VirtualHost *:80> | ||
| ServerAdmin webmaster@localhost | ServerAdmin webmaster@localhost | ||
| Ligne 212: | Ligne 215: | ||
| DocumentRoot /var/www/monsite.com/public_html | DocumentRoot /var/www/monsite.com/public_html | ||
| <...> | <...> | ||
| - | </code> | + | </file> |
| On peut laisser le reste tel quel. | On peut laisser le reste tel quel. | ||
| Ligne 288: | Ligne 292: | ||
| <code root>ls -l /etc/apache2/mods-available/php5*</code> | <code root>ls -l /etc/apache2/mods-available/php5*</code> | ||
| - | <code>-rw-r--r-- 1 root root 898 août 21 10:49 /etc/apache2/mods-available/php5.conf | + | <file config retour de la commande>-rw-r--r-- 1 root root 898 août 21 10:49 /etc/apache2/mods-available/php5.conf |
| - | -rw-r--r-- 1 root root 59 août 21 10:49 /etc/apache2/mods-available/php5.load</code> | + | -rw-r--r-- 1 root root 59 août 21 10:49 /etc/apache2/mods-available/php5.load</file> |
| <note important>Si après l'installation le module php5 ne figure pas dans la liste des modules du fichier /etc/apache2/mods-available/ | <note important>Si après l'installation le module php5 ne figure pas dans la liste des modules du fichier /etc/apache2/mods-available/ | ||
| Ligne 308: | Ligne 312: | ||
| Dans /etc/apache2/mod-enabled, ce sont des liens symboliques qui activent ce module: | Dans /etc/apache2/mod-enabled, ce sont des liens symboliques qui activent ce module: | ||
| <code root>ls -l /etc/apache2/mods-enabled/php5*</code> | <code root>ls -l /etc/apache2/mods-enabled/php5*</code> | ||
| - | <code>lrwxrwxrwx 1 root root 27 sept. 20 11:40\ | + | <file config retour de la commande>lrwxrwxrwx 1 root root 27 sept. 20 11:40\ |
| /etc/apache2/mods-enabled/php5.conf -> ../mods-available/php5.conf | /etc/apache2/mods-enabled/php5.conf -> ../mods-available/php5.conf | ||
| lrwxrwxrwx 1 root root 27 sept. 20 11:40\ | lrwxrwxrwx 1 root root 27 sept. 20 11:40\ | ||
| - | /etc/apache2/mods-enabled/php5.load -> ../mods-available/php5.load</code> | + | /etc/apache2/mods-enabled/php5.load -> ../mods-available/php5.load</file> |
| Quand les liens sont là, comme ci-dessus, c'est que le module est activé. | Quand les liens sont là, comme ci-dessus, c'est que le module est activé. | ||
| Ligne 320: | Ligne 324: | ||
| * ''a2enmod'' : (apache2 enable module) : active un module apache2 | * ''a2enmod'' : (apache2 enable module) : active un module apache2 | ||
| + | |||
| * ''a2dismod'' : (apache2 disable module) : désactive un module apache2 | * ''a2dismod'' : (apache2 disable module) : désactive un module apache2 | ||
| Ligne 332: | Ligne 337: | ||
| <code root>mv /var/www/index.html /var/www/index.php</code> | <code root>mv /var/www/index.html /var/www/index.php</code> | ||
| <code root>vim /var/www/index.php</code> | <code root>vim /var/www/index.php</code> | ||
| - | <code> | + | |
| + | <file php index.php> | ||
| <html> | <html> | ||
| <body> | <body> | ||
| Ligne 342: | Ligne 348: | ||
| </body> | </body> | ||
| </html> | </html> | ||
| - | </code> | + | </file> |
| + | |||
| * Recharger apache : | * Recharger apache : | ||
| Ligne 399: | Ligne 407: | ||
| <code root>vim /etc/apache2/sites-available/monsite.com</code> | <code root>vim /etc/apache2/sites-available/monsite.com</code> | ||
| - | <code> | + | |
| + | <file config monsite.com> | ||
| <VirtualHost *:80> | <VirtualHost *:80> | ||
| ServerAdmin webmaster@localhost | ServerAdmin webmaster@localhost | ||
| Ligne 421: | Ligne 430: | ||
| allow from 192.168.0.0/24 | allow from 192.168.0.0/24 | ||
| </Directory> | </Directory> | ||
| - | </code> | + | |
| + | </file> | ||
| > ''Options -Indexes'' : Pour désactiver l'option permettant le parcours d'un répertoire | > ''Options -Indexes'' : Pour désactiver l'option permettant le parcours d'un répertoire | ||
| + | |||
| > ''Options -FollowSymLinks'' : Pour désactiver l'option permettant à apache de suivre des liens symboliques (qui pourraient permettre de quitter /var/www). | > ''Options -FollowSymLinks'' : Pour désactiver l'option permettant à apache de suivre des liens symboliques (qui pourraient permettre de quitter /var/www). | ||
| + | |||
| > ''Options -Includes'' : Pour désactiver l'option permettant à apache de faire des inclusions côté serveur. | > ''Options -Includes'' : Pour désactiver l'option permettant à apache de faire des inclusions côté serveur. | ||
| + | |||
| > ''Options -ExecCGI'' : Pour désactiver l'option permettant à apache l'utilisation de scripts CGI. Désactiver cette option seulement si on n'utilise pas de script CGI(([[http://fr.wikipedia.org/wiki/Common_Gateway_Interface]])). | > ''Options -ExecCGI'' : Pour désactiver l'option permettant à apache l'utilisation de scripts CGI. Désactiver cette option seulement si on n'utilise pas de script CGI(([[http://fr.wikipedia.org/wiki/Common_Gateway_Interface]])). | ||
| Ligne 453: | Ligne 466: | ||
| <code root>vim /home/web/monsite.com/public_html/index.php</code> | <code root>vim /home/web/monsite.com/public_html/index.php</code> | ||
| - | <code><html> | + | <file php index.php> |
| + | <html> | ||
| <body> | <body> | ||
| <h1>Bienvenue sur monsite.com</h1> | <h1>Bienvenue sur monsite.com</h1> | ||
| Ligne 461: | Ligne 475: | ||
| ?> | ?> | ||
| </body> | </body> | ||
| - | </html></code> | + | </html> |
| + | </file> | ||
| ====Restreindre l'accès à "monsite.com" par login et mot de passe apache2==== | ====Restreindre l'accès à "monsite.com" par login et mot de passe apache2==== | ||
| Ligne 471: | Ligne 486: | ||
| <code root>cd /usr/local/ && ls</code> | <code root>cd /usr/local/ && ls</code> | ||
| - | <code>bin etc games include lib man sbin share src</code> | + | <file config retour de la commande>bin etc games include lib man sbin share src</file> |
| * Il faut créer un dossier apache du nom de son choix : | * Il faut créer un dossier apache du nom de son choix : | ||
| Ligne 480: | Ligne 495: | ||
| La commande ''htpasswd'' va créer un fichier qui contiendra utilisateur apache /mot de passe. | La commande ''htpasswd'' va créer un fichier qui contiendra utilisateur apache /mot de passe. | ||
| <code root>htpasswd -c passwords web</code> | <code root>htpasswd -c passwords web</code> | ||
| - | <code>New password: | + | <file config séquence interactive>New password: |
| Re-type new password: | Re-type new password: | ||
| - | Adding password for user web</code> | + | Adding password for user web</file> |
| -> ''-c'' pour la première fois qu'on crée un mot de passe. Si on l'utilisait une deuxième fois pour le même fichier "passwords", pour un deuxième utilisateur, on écrasera le contenu du fichier, et on perdrait le mot de passe du premier utilisateur. Donc pour un éventuel deuxième utilisateur "toto": ''htpasswd passwords toto''.\\ | -> ''-c'' pour la première fois qu'on crée un mot de passe. Si on l'utilisait une deuxième fois pour le même fichier "passwords", pour un deuxième utilisateur, on écrasera le contenu du fichier, et on perdrait le mot de passe du premier utilisateur. Donc pour un éventuel deuxième utilisateur "toto": ''htpasswd passwords toto''.\\ | ||
| Ligne 507: | Ligne 522: | ||
| <code root>vim /etc/apache2/sites-available/default</code> | <code root>vim /etc/apache2/sites-available/default</code> | ||
| - | <code> | + | |
| + | <file config default> | ||
| <VirtualHost *:80> | <VirtualHost *:80> | ||
| ServerAdmin webmaster@localhost | ServerAdmin webmaster@localhost | ||
| Ligne 543: | Ligne 559: | ||
| CustomLog ${APACHE_LOG_DIR}/access.log combined | CustomLog ${APACHE_LOG_DIR}/access.log combined | ||
| - | </code> | + | </file> |
| <note> | <note> | ||
| - | **Bien remarquer que pour pouvoir ajouter cette directive**\\ | + | **Bien remarquer que pour pouvoir ajouter cette directive**\\ |
| - | -> on a mis ''AllowOverride AuthConfig'' à la place de ''AllowOverride None'' non seulement dans la directive "<Directory /var/www/>".\\ mais aussi dans "<Directory />". | + | |
| + | -> on a mis ''AllowOverride AuthConfig'' à la place de ''AllowOverride None'' non seulement dans la directive "<Directory /var/www/>".\\ | ||
| - | **Pour autoriser l'accès à tous les utilisateurs** qui ont un mot de passe apache :\\ | + | mais aussi dans "<Directory />". |
| - | -> ''Require user web''\\ | + | |
| + | **Pour autoriser l'accès à tous les utilisateurs** qui ont un mot de passe apache :\\ | ||
| + | |||
| + | -> ''Require user web''\\ | ||
| + | |||
| -> ''Require group groupe1''\\ | -> ''Require group groupe1''\\ | ||
| - | **On aurrait pu mettre** :\\ | + | **On aurait pu mettre** :\\ |
| - | -> ''Require valid-user''\\ | + | |
| + | -> ''Require valid-user''\\ | ||
| Voir aussi la directive "Satisfy" : [[http://httpd.apache.org/docs/2.2/howto/auth.html]] | Voir aussi la directive "Satisfy" : [[http://httpd.apache.org/docs/2.2/howto/auth.html]] | ||
| - | **Pour sécuriser l'accès au système de fichier** :\\ | + | **Pour sécuriser l'accès au système de fichier** :\\ |
| + | |||
| ''Require all denied'' : interdire aux clients de parcourir l'ensemble du système de fichiers. Ceci va interdire l'accès par défaut à tous les fichiers du système de fichiers; Ensuite on autorise section par section. Voir [[http://httpd.apache.org/docs/trunk/fr/misc/security_tips.html]] et [[http://httpd.apache.org/docs/2.2/mod/core.html#require| require directive]]\\ | ''Require all denied'' : interdire aux clients de parcourir l'ensemble du système de fichiers. Ceci va interdire l'accès par défaut à tous les fichiers du système de fichiers; Ensuite on autorise section par section. Voir [[http://httpd.apache.org/docs/trunk/fr/misc/security_tips.html]] et [[http://httpd.apache.org/docs/2.2/mod/core.html#require| require directive]]\\ | ||
| - | Pour l'utiliser avec une zone restreinte, il faut alors l'inclure dans <Directory /> et créer la zone restreinte dans une directive séparée :\\ | + | Pour l'utiliser avec une zone restreinte, il faut alors l'inclure dans <Directory /> et créer la zone restreinte dans une directive séparée :\\ |
| + | |||
| ''<Directory /var/www/restricted/> ... </Directory>'' | ''<Directory /var/www/restricted/> ... </Directory>'' | ||
| </note> | </note> | ||
| Ligne 567: | Ligne 593: | ||
| <code root>vim /etc/apache2/sites-available/monsite.com</code> | <code root>vim /etc/apache2/sites-available/monsite.com</code> | ||
| - | <code> | + | |
| + | <file config monsite.com> | ||
| <VirtualHost *:80> | <VirtualHost *:80> | ||
| ServerAdmin webmaster@localhost | ServerAdmin webmaster@localhost | ||
| Ligne 611: | Ligne 638: | ||
| CustomLog ${APACHE_LOG_DIR}/access.log combined | CustomLog ${APACHE_LOG_DIR}/access.log combined | ||
| </VirtualHost> | </VirtualHost> | ||
| - | </code> | + | </file> |
| ===On supprime le fichier "monsite.com" de /var/www/ === | ===On supprime le fichier "monsite.com" de /var/www/ === | ||
| - | (Si on a suivi précédemment : [[atelier:chantier:apache2#creation-du-site-web-dans-var-www|création de "monsite.com" dans /var/www/]]) | + | (Si on a suivi précédemment : [[doc:reseau:apache2#Création du site web dans /var/www/|création de "monsite.com" dans /var/www/]] ) |
| <code root>cd /var/www/</code> | <code root>cd /var/www/</code> | ||
| <code root>rm -r monsite.com</code> | <code root>rm -r monsite.com</code> | ||
| Ligne 684: | Ligne 712: | ||
| **Ainsi paramétrer apache inscrit les événements anormaux dans l'un des fichiers du répertoire /var/log/apache2/error.log.** | **Ainsi paramétrer apache inscrit les événements anormaux dans l'un des fichiers du répertoire /var/log/apache2/error.log.** | ||
| - | On peut mettre l'un des neuf niveau d'alerte, pour être alerter de la moindre information jusqu'au alerte grave :\\ | + | On peut mettre l'un des neuf niveau d'alerte, pour être alerter de la moindre information jusqu'au alerte grave :\\ |
| - | -''trace'' : traçage des informations de différents niveaux (produit une grande quantité d'informations);\\ | + | |
| - | - ''debug'' : informations de débogage qui peut être utile pour repérer où un problème ;\\ | + | -''trace'' : traçage des informations de différents niveaux (produit une grande quantité d'informations);\\ |
| + | |||
| + | - ''debug'' : informations de débogage qui peut être utile pour repérer où un problème ;\\ | ||
| + | |||
| - ''info'': message d'information qui pourrait être bon à savoir;\\ | - ''info'': message d'information qui pourrait être bon à savoir;\\ | ||
| + | |||
| - ''notice'' : signal un événement normal, mais à noter;\\ | - ''notice'' : signal un événement normal, mais à noter;\\ | ||
| - | - ''warn'' : signal un événement anormal, mais pas très préoccupant;\\ | + | |
| - | - ''error'' : signal que quelque chose a échoué;\\ | + | - ''warn'' : signal un événement anormal, mais pas très préoccupant;\\ |
| - | - ''crit'' : problèmes importants qui doivent être pris en compte;\\ | + | |
| - | - ''alert'' : situation grave qui nécessite rapidement une action;\\ | + | - ''error'' : signal que quelque chose a échoué;\\ |
| + | |||
| + | - ''crit'' : problèmes importants qui doivent être pris en compte;\\ | ||
| + | |||
| + | - ''alert'' : situation grave qui nécessite rapidement une action;\\ | ||
| + | |||
| - ''emerg'' : urgence de la situation, le système est dans un état inutilisable.\\ | - ''emerg'' : urgence de la situation, le système est dans un état inutilisable.\\ | ||
| Ligne 826: | Ligne 863: | ||
| 1) **Création de la clé privée** : par exemple ''openssl genrsa 1024 > /etc/apache2/ssl/apache.key'' | 1) **Création de la clé privée** : par exemple ''openssl genrsa 1024 > /etc/apache2/ssl/apache.key'' | ||
| - | 2) **À partir de cette clé privée, on crée un certificat CSR qui contient une clé publique** à faire signer : ''openssl req -new -key /etc/apache2/ssl/apache.key > /etc/apache2/ssl/apache.csr'' | + | 2) **À partir de cette clé privée, on crée un certificat CSR qui contient une clé publique** à faire signer :\\ |
| + | |||
| + | ''openssl req -new -key /etc/apache2/ssl/apache.key > /etc/apache2/ssl/apache.csr'' | ||
| => C'est ce certificat qu'il faut faire signer par une autorité de certification (CA) | => C'est ce certificat qu'il faut faire signer par une autorité de certification (CA) | ||
| Ou qu'il faudra auto-signer. | Ou qu'il faudra auto-signer. | ||
| - | 3) **On décide d'auto-signer ce certificat donc on crée une clé privée qui serait celle du CA officielle** : ''openssl genrsa -des3 1024 > ca.key''\\ | + | 3) **On décide d'auto-signer ce certificat donc on crée une clé privée qui serait celle du CA officielle** :\\ |
| + | |||
| + | ''openssl genrsa -des3 1024 > ca.key''\\ | ||
| -on peut ajouter -des3 qui introduit l'usage d'une "passphrase"\\ | -on peut ajouter -des3 qui introduit l'usage d'une "passphrase"\\ | ||
| -c'est cette clé privée qui signera tous les certificats que l'on émettra ; cette "passphrase" sera donc demandée à chaque utilisation de la clé. | -c'est cette clé privée qui signera tous les certificats que l'on émettra ; cette "passphrase" sera donc demandée à chaque utilisation de la clé. | ||
| - | 4) **Puis à partir de la clé privée, on crée un certificat x509 pour une durée de validité d'un an auto-signé**\\ ''openssl req -new -x509 -days 365 -key ca.key > ca.crt''\\ | + | 4) **Puis à partir de la clé privée, on crée un certificat x509 pour une durée de validité d'un an auto-signé**\\ |
| + | |||
| + | ''openssl req -new -x509 -days 365 -key ca.key > ca.crt''\\ | ||
| + | |||
| -On répondrait à nouveau aux questions, mais on changerait la réponse relative à "Common Name". | -On répondrait à nouveau aux questions, mais on changerait la réponse relative à "Common Name". | ||
| - | 5) **Enfin il faudrait faire signer notre certificat de demande de signature par le certificat du CA (qui a été fait par nous-même) :**\\ | + | 5) **Enfin il faudrait faire signer notre certificat de demande de signature par le certificat du CA (qui a été fait par nous-même) :**\\ |
| + | |||
| ''openssl x509 -req -in /etc/apache2/ssl/apache.csr -out /etc/apache2/ssl/apache.crt -CA ca.crt -CAkey ca.key\ | ''openssl x509 -req -in /etc/apache2/ssl/apache.csr -out /etc/apache2/ssl/apache.crt -CA ca.crt -CAkey ca.key\ | ||
| -CAcreateserial -CAserial ca.srl''\\ | -CAcreateserial -CAserial ca.srl''\\ | ||
| Ligne 894: | Ligne 940: | ||
| On peut le modifier : | On peut le modifier : | ||
| <code root>vim /home/hypathie/www/index.html</code> | <code root>vim /home/hypathie/www/index.html</code> | ||
| - | <code><html><body><h1>Ça marche!</h1> | + | <file html index.html> |
| + | <html><body><h1>Ça marche!</h1> | ||
| <p>Voici ma page d'index.</p> | <p>Voici ma page d'index.</p> | ||
| <p>YEP ! Déployée dans mon répertoire personnel !</p> | <p>YEP ! Déployée dans mon répertoire personnel !</p> | ||
| <p>Le serveur web apache2 fonctionne.</p> | <p>Le serveur web apache2 fonctionne.</p> | ||
| - | </body></html></code> | + | </body></html> |
| + | </file> | ||
| - | *On créer un contenu en php dans "pegaseous" : | + | *On crée un contenu en php dans "pegaseous" : |
| <code root>vim /home/hypathie/www/pegaseous.com/public_html/index.php</code> | <code root>vim /home/hypathie/www/pegaseous.com/public_html/index.php</code> | ||
| - | <code><html> | + | <file php index.php> |
| + | <html> | ||
| <body> | <body> | ||
| <h1>Bienvenue sur pegaseous.com</h1> | <h1>Bienvenue sur pegaseous.com</h1> | ||
| Ligne 911: | Ligne 960: | ||
| </body> | </body> | ||
| </html> | </html> | ||
| - | </code> | + | </file> |
| ===On pense aux droits unix sur ses répertoires et fichiers=== | ===On pense aux droits unix sur ses répertoires et fichiers=== | ||
| Ligne 925: | Ligne 975: | ||
| <code root>vim /etc/apache2/sites-available/default</code> | <code root>vim /etc/apache2/sites-available/default</code> | ||
| - | <code> | + | <file config default> |
| <VirtualHost 192.168.0.13:80> | <VirtualHost 192.168.0.13:80> | ||
| ServerAdmin webmaster@localhost | ServerAdmin webmaster@localhost | ||
| Ligne 956: | Ligne 1007: | ||
| CustomLog ${APACHE_LOG_DIR}/access.log combined | CustomLog ${APACHE_LOG_DIR}/access.log combined | ||
| </VirtualHost> | </VirtualHost> | ||
| - | </code> | + | </file> |
| * On charge le site "default" : | * On charge le site "default" : | ||
| Ligne 970: | Ligne 1022: | ||
| <code root>vim /etc/apache2/ports.conf</code> | <code root>vim /etc/apache2/ports.conf</code> | ||
| - | <code>NameVirtualHost 192.168.0.13:80 | + | <file config ports.conf> |
| - | Listen 80</code> | + | NameVirtualHost 192.168.0.13:80 |
| + | Listen 80 | ||
| + | </file> | ||
| ===Le fichier "default-ssl"=== | ===Le fichier "default-ssl"=== | ||
| Ligne 982: | Ligne 1036: | ||
| <code root>vim /etc/apache2/sites-available/default-ssl</code> | <code root>vim /etc/apache2/sites-available/default-ssl</code> | ||
| - | <code><IfModule mod_ssl.c> | + | <file config default-ssl> |
| + | <IfModule mod_ssl.c> | ||
| <VirtualHost *:443> | <VirtualHost *:443> | ||
| ServerAdmin webmaster@localhost | ServerAdmin webmaster@localhost | ||
| Ligne 1005: | Ligne 1060: | ||
| </VirtualHost> | </VirtualHost> | ||
| </IfModule> | </IfModule> | ||
| - | </code> | + | |
| + | </file> | ||
| Il n'y a rien d'autre à modifier. | Il n'y a rien d'autre à modifier. | ||
