Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:apache2:tp01 [01/10/2015 11:57] milou [Installer le module php] |
doc:reseau:apache2:tp01 [01/10/2015 17:03] milou [Créer un site web avec apache2] |
||
|---|---|---|---|
| Ligne 5: | Ligne 5: | ||
| * Commentaires : Apprendre à configurer un serveur web sur son réseau local. | * Commentaires : Apprendre à configurer un serveur web sur son réseau local. | ||
| * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | ||
| - | * Suivi : {{tag> à-tester}} | + | * Suivi : |
| * Création par [[user>Hypathie]] le 20/09/2014 | * Création par [[user>Hypathie]] le 20/09/2014 | ||
| * Testé par [[user>Hypathie]] octobre 2014 sur Wheezy | * Testé par [[user>Hypathie]] octobre 2014 sur Wheezy | ||
| Ligne 425: | Ligne 425: | ||
| > ''Options -Indexes'' : Pour désactiver l'option permettant le parcours d'un répertoire | > ''Options -Indexes'' : Pour désactiver l'option permettant le parcours d'un répertoire | ||
| + | |||
| > ''Options -FollowSymLinks'' : Pour désactiver l'option permettant à apache de suivre des liens symboliques (qui pourraient permettre de quitter /var/www). | > ''Options -FollowSymLinks'' : Pour désactiver l'option permettant à apache de suivre des liens symboliques (qui pourraient permettre de quitter /var/www). | ||
| + | |||
| > ''Options -Includes'' : Pour désactiver l'option permettant à apache de faire des inclusions côté serveur. | > ''Options -Includes'' : Pour désactiver l'option permettant à apache de faire des inclusions côté serveur. | ||
| + | |||
| > ''Options -ExecCGI'' : Pour désactiver l'option permettant à apache l'utilisation de scripts CGI. Désactiver cette option seulement si on n'utilise pas de script CGI(([[http://fr.wikipedia.org/wiki/Common_Gateway_Interface]])). | > ''Options -ExecCGI'' : Pour désactiver l'option permettant à apache l'utilisation de scripts CGI. Désactiver cette option seulement si on n'utilise pas de script CGI(([[http://fr.wikipedia.org/wiki/Common_Gateway_Interface]])). | ||
| Ligne 472: | Ligne 475: | ||
| <code root>cd /usr/local/ && ls</code> | <code root>cd /usr/local/ && ls</code> | ||
| - | <code>bin etc games include lib man sbin share src</code> | + | <file config retour de la commande>bin etc games include lib man sbin share src</file> |
| * Il faut créer un dossier apache du nom de son choix : | * Il faut créer un dossier apache du nom de son choix : | ||
| Ligne 481: | Ligne 484: | ||
| La commande ''htpasswd'' va créer un fichier qui contiendra utilisateur apache /mot de passe. | La commande ''htpasswd'' va créer un fichier qui contiendra utilisateur apache /mot de passe. | ||
| <code root>htpasswd -c passwords web</code> | <code root>htpasswd -c passwords web</code> | ||
| - | <code>New password: | + | <file config séquence interactive>New password: |
| Re-type new password: | Re-type new password: | ||
| - | Adding password for user web</code> | + | Adding password for user web</file> |
| -> ''-c'' pour la première fois qu'on crée un mot de passe. Si on l'utilisait une deuxième fois pour le même fichier "passwords", pour un deuxième utilisateur, on écrasera le contenu du fichier, et on perdrait le mot de passe du premier utilisateur. Donc pour un éventuel deuxième utilisateur "toto": ''htpasswd passwords toto''.\\ | -> ''-c'' pour la première fois qu'on crée un mot de passe. Si on l'utilisait une deuxième fois pour le même fichier "passwords", pour un deuxième utilisateur, on écrasera le contenu du fichier, et on perdrait le mot de passe du premier utilisateur. Donc pour un éventuel deuxième utilisateur "toto": ''htpasswd passwords toto''.\\ | ||
| Ligne 547: | Ligne 550: | ||
| <note> | <note> | ||
| - | **Bien remarquer que pour pouvoir ajouter cette directive**\\ | + | **Bien remarquer que pour pouvoir ajouter cette directive**\\ |
| - | -> on a mis ''AllowOverride AuthConfig'' à la place de ''AllowOverride None'' non seulement dans la directive "<Directory /var/www/>".\\ mais aussi dans "<Directory />". | + | |
| + | -> on a mis ''AllowOverride AuthConfig'' à la place de ''AllowOverride None'' non seulement dans la directive "<Directory /var/www/>".\\ | ||
| - | **Pour autoriser l'accès à tous les utilisateurs** qui ont un mot de passe apache :\\ | + | mais aussi dans "<Directory />". |
| - | -> ''Require user web''\\ | + | |
| + | **Pour autoriser l'accès à tous les utilisateurs** qui ont un mot de passe apache :\\ | ||
| + | |||
| + | -> ''Require user web''\\ | ||
| + | |||
| -> ''Require group groupe1''\\ | -> ''Require group groupe1''\\ | ||
| - | **On aurrait pu mettre** :\\ | + | **On aurait pu mettre** :\\ |
| - | -> ''Require valid-user''\\ | + | |
| + | -> ''Require valid-user''\\ | ||
| Voir aussi la directive "Satisfy" : [[http://httpd.apache.org/docs/2.2/howto/auth.html]] | Voir aussi la directive "Satisfy" : [[http://httpd.apache.org/docs/2.2/howto/auth.html]] | ||
| - | **Pour sécuriser l'accès au système de fichier** :\\ | + | **Pour sécuriser l'accès au système de fichier** :\\ |
| + | |||
| ''Require all denied'' : interdire aux clients de parcourir l'ensemble du système de fichiers. Ceci va interdire l'accès par défaut à tous les fichiers du système de fichiers; Ensuite on autorise section par section. Voir [[http://httpd.apache.org/docs/trunk/fr/misc/security_tips.html]] et [[http://httpd.apache.org/docs/2.2/mod/core.html#require| require directive]]\\ | ''Require all denied'' : interdire aux clients de parcourir l'ensemble du système de fichiers. Ceci va interdire l'accès par défaut à tous les fichiers du système de fichiers; Ensuite on autorise section par section. Voir [[http://httpd.apache.org/docs/trunk/fr/misc/security_tips.html]] et [[http://httpd.apache.org/docs/2.2/mod/core.html#require| require directive]]\\ | ||
| - | Pour l'utiliser avec une zone restreinte, il faut alors l'inclure dans <Directory /> et créer la zone restreinte dans une directive séparée :\\ | + | Pour l'utiliser avec une zone restreinte, il faut alors l'inclure dans <Directory /> et créer la zone restreinte dans une directive séparée :\\ |
| + | |||
| ''<Directory /var/www/restricted/> ... </Directory>'' | ''<Directory /var/www/restricted/> ... </Directory>'' | ||
| </note> | </note> | ||
| Ligne 685: | Ligne 697: | ||
| **Ainsi paramétrer apache inscrit les événements anormaux dans l'un des fichiers du répertoire /var/log/apache2/error.log.** | **Ainsi paramétrer apache inscrit les événements anormaux dans l'un des fichiers du répertoire /var/log/apache2/error.log.** | ||
| - | On peut mettre l'un des neuf niveau d'alerte, pour être alerter de la moindre information jusqu'au alerte grave :\\ | + | On peut mettre l'un des neuf niveau d'alerte, pour être alerter de la moindre information jusqu'au alerte grave :\\ |
| - | -''trace'' : traçage des informations de différents niveaux (produit une grande quantité d'informations);\\ | + | |
| - | - ''debug'' : informations de débogage qui peut être utile pour repérer où un problème ;\\ | + | -''trace'' : traçage des informations de différents niveaux (produit une grande quantité d'informations);\\ |
| + | |||
| + | - ''debug'' : informations de débogage qui peut être utile pour repérer où un problème ;\\ | ||
| + | |||
| - ''info'': message d'information qui pourrait être bon à savoir;\\ | - ''info'': message d'information qui pourrait être bon à savoir;\\ | ||
| + | |||
| - ''notice'' : signal un événement normal, mais à noter;\\ | - ''notice'' : signal un événement normal, mais à noter;\\ | ||
| - | - ''warn'' : signal un événement anormal, mais pas très préoccupant;\\ | + | |
| - | - ''error'' : signal que quelque chose a échoué;\\ | + | - ''warn'' : signal un événement anormal, mais pas très préoccupant;\\ |
| - | - ''crit'' : problèmes importants qui doivent être pris en compte;\\ | + | |
| - | - ''alert'' : situation grave qui nécessite rapidement une action;\\ | + | - ''error'' : signal que quelque chose a échoué;\\ |
| + | |||
| + | - ''crit'' : problèmes importants qui doivent être pris en compte;\\ | ||
| + | |||
| + | - ''alert'' : situation grave qui nécessite rapidement une action;\\ | ||
| + | |||
| - ''emerg'' : urgence de la situation, le système est dans un état inutilisable.\\ | - ''emerg'' : urgence de la situation, le système est dans un état inutilisable.\\ | ||
| Ligne 827: | Ligne 848: | ||
| 1) **Création de la clé privée** : par exemple ''openssl genrsa 1024 > /etc/apache2/ssl/apache.key'' | 1) **Création de la clé privée** : par exemple ''openssl genrsa 1024 > /etc/apache2/ssl/apache.key'' | ||
| - | 2) **À partir de cette clé privée, on crée un certificat CSR qui contient une clé publique** à faire signer : ''openssl req -new -key /etc/apache2/ssl/apache.key > /etc/apache2/ssl/apache.csr'' | + | 2) **À partir de cette clé privée, on crée un certificat CSR qui contient une clé publique** à faire signer :\\ |
| + | |||
| + | ''openssl req -new -key /etc/apache2/ssl/apache.key > /etc/apache2/ssl/apache.csr'' | ||
| => C'est ce certificat qu'il faut faire signer par une autorité de certification (CA) | => C'est ce certificat qu'il faut faire signer par une autorité de certification (CA) | ||
| Ou qu'il faudra auto-signer. | Ou qu'il faudra auto-signer. | ||
| - | 3) **On décide d'auto-signer ce certificat donc on crée une clé privée qui serait celle du CA officielle** : ''openssl genrsa -des3 1024 > ca.key''\\ | + | 3) **On décide d'auto-signer ce certificat donc on crée une clé privée qui serait celle du CA officielle** :\\ |
| + | |||
| + | ''openssl genrsa -des3 1024 > ca.key''\\ | ||
| -on peut ajouter -des3 qui introduit l'usage d'une "passphrase"\\ | -on peut ajouter -des3 qui introduit l'usage d'une "passphrase"\\ | ||
| -c'est cette clé privée qui signera tous les certificats que l'on émettra ; cette "passphrase" sera donc demandée à chaque utilisation de la clé. | -c'est cette clé privée qui signera tous les certificats que l'on émettra ; cette "passphrase" sera donc demandée à chaque utilisation de la clé. | ||
| - | 4) **Puis à partir de la clé privée, on crée un certificat x509 pour une durée de validité d'un an auto-signé**\\ ''openssl req -new -x509 -days 365 -key ca.key > ca.crt''\\ | + | 4) **Puis à partir de la clé privée, on crée un certificat x509 pour une durée de validité d'un an auto-signé**\\ |
| + | |||
| + | ''openssl req -new -x509 -days 365 -key ca.key > ca.crt''\\ | ||
| + | |||
| -On répondrait à nouveau aux questions, mais on changerait la réponse relative à "Common Name". | -On répondrait à nouveau aux questions, mais on changerait la réponse relative à "Common Name". | ||
| - | 5) **Enfin il faudrait faire signer notre certificat de demande de signature par le certificat du CA (qui a été fait par nous-même) :**\\ | + | 5) **Enfin il faudrait faire signer notre certificat de demande de signature par le certificat du CA (qui a été fait par nous-même) :**\\ |
| + | |||
| ''openssl x509 -req -in /etc/apache2/ssl/apache.csr -out /etc/apache2/ssl/apache.crt -CA ca.crt -CAkey ca.key\ | ''openssl x509 -req -in /etc/apache2/ssl/apache.csr -out /etc/apache2/ssl/apache.crt -CA ca.crt -CAkey ca.key\ | ||
| -CAcreateserial -CAserial ca.srl''\\ | -CAcreateserial -CAserial ca.srl''\\ | ||
