4 234
modifications
Ligne 71 : | Ligne 71 : | ||
Nous allons créer un fichier afin d'interdire l'accès à certains dossiers qu'apache autorise en général par défaut. Notez qu'activer ces options empêchera la configuration par défaut de nombreux paquets debian de fonctionner.<br> | Nous allons créer un fichier afin d'interdire l'accès à certains dossiers qu'apache autorise en général par défaut. Notez qu'activer ces options empêchera la configuration par défaut de nombreux paquets debian de fonctionner.<br> | ||
Créez le fichier <code>/etc/apache2/conf-available/zzz_localsecurity.conf</code> (le faire commencer par zzz devrait vous assurer qu'il soit lu en dernier) | Créez le fichier <code>/etc/apache2/conf-available/zzz_localsecurity.conf</code> (le faire commencer par zzz devrait vous assurer qu'il soit lu en dernier) contenant : | ||
<pre> | <pre> | ||
# Disable access to / by default | # Disable access to / by default | ||
<Directory /> | <Directory /> | ||
Options -Includes -ExecCGI -Indexes | Options -Includes -IncludesNOEXEC -ExecCGI -Indexes -FollowSymLinks -SymLinksIfOwnerMatch -MultiViews | ||
AllowOverride None | AllowOverride None | ||
Require all denied | Require all denied | ||
Ligne 82 : | Ligne 82 : | ||
# Disable access to /usr/share by default | # Disable access to /usr/share by default | ||
<Directory /usr/share/> | <Directory /usr/share/> | ||
Options -Includes -IncludesNOEXEC -ExecCGI -Indexes -FollowSymLinks -SymLinksIfOwnerMatch -MultiViews | |||
AllowOverride None | AllowOverride None | ||
Require all denied | Require all denied | ||
Ligne 88 : | Ligne 89 : | ||
# Disable access to /usr/lib/cgi-bin/ by default (will override conf-enabled/serve-cgi-bin.conf if enabled) | # Disable access to /usr/lib/cgi-bin/ by default (will override conf-enabled/serve-cgi-bin.conf if enabled) | ||
<Directory /usr/lib/cgi-bin/> | <Directory /usr/lib/cgi-bin/> | ||
Options -Includes -IncludesNOEXEC -ExecCGI -Indexes -FollowSymLinks -SymLinksIfOwnerMatch -MultiViews | |||
AllowOverride None | AllowOverride None | ||
Require all denied | Require all denied | ||
Ligne 130 : | Ligne 132 : | ||
EnableCapabilities on | EnableCapabilities on | ||
</IfModule> | </IfModule> | ||
</pre> | |||
</ | Vous pouvez noter que les sections concernant <code>/usr/lib/cgi-bin/</code> et <code>/usr/share/</code> sont superflues étant données que la section concernant <code>/</code> couvre déjà ces répertoires. Il est néanmoins pratique d'avoir prédéfini des règles pour ces deux dossiers car ce sont ceux pour lesquels vous risquez le plus d'avoir à assouplir les règles de sécurité à l'échelle du serveur entier. | ||
Activez | Activez le fichier de configuration avec <code>a2enconf</code> : | ||
<pre>a2enconf zzz_localsecurity.conf | <pre>a2enconf zzz_localsecurity.conf | ||
/etc/init.d/apache2 reload</pre> | /etc/init.d/apache2 reload</pre> |