Apache et les droits

Support Debian
#1

Bonjour à tous,
Ce problème va surment sembler bête mais c’est pour un accès externe donc je ne préfère pas me tromper.
Je compte utiliser un cacti via le net et le sécuriser avec fail2ban, j’ai installé apache (depot) puis installer cacti via les sources.

Mais j’ai un problème concernant les droits, ce n’est pas clair j’ai lu un peu partout sur le net mais personne ne semble d’accord sur le droits à attribuer :laughing:

Actuellement :
www-data est propriétaire de tout sauf de deux dossier donc l’utilisateur de cacti est propriétaire.
J’ai mis des droits suivants en utilisant le superbe script d’une personne de ce forum : ( je l’ai un poil adapté à mes besoins )

root@DeB:~/script# more droitapache #!/bin/sh chown -R www-data:www-data /var/www find /var/www -name "*" -type d -exec chmod 755 {} \; find /var/www -name "*" -type f -exec chmod 644 {} \; #find /var/www -name "*.php" -type f -exec chmod 640 {} \;Utile ou pas ? chown -R cactiuser:cactiuser /var/www/cacti/rra chown -R cactiuser:cactiuser /var/www/cacti/log

A l’heure actuelle cela fonctionne cependant je ne connais pas assez bien les attaques possible sur le http et sur les php.

Les droits configurés de la sorte sont-ils corrects ?
Il y a une chose qui me gène vraiment beaucoup c’est que l’utilisateur qui se promené sur le site récupéré ce lien par exemple (fictif ):
cacti.fr/cacti/index.php
Il fait son tour

il finit avec le lien :
cacti.fr/cacti/include/confi … /index.php
il se dit “Oh bah on va regarder si ça marche” allez hop :
cacti.fr/cacti/include/
et la PAF :079 il liste le contenu de mon répertoire, après bien sur il ne peut pas récupérer le php puisque c’est déjà interprété mais il a déjà l’accès aux noms de tout les fichiers et les fichiers autres que php.
Comment empêcher le listage de la sorte ? :013
Est-ce que ce sont les droits des dossier/fichiers qui rentre en compte ? :115
J’ai lu que le meilleur droit sur les pages php était le 440 cependant je ne saisi pas bien la différence de sécu entre le 440 ou le 740 pour une page web etc
Je précise que je n’ai rien touché sur la conf d’apache.

Merci à vous ! :smiley:

Kit’

#2

[quote=“kitsun”]
il finit avec le lien :
cacti.fr/cacti/include/confi … /index.php
il se dit “Oh bah on va regarder si ça marche” allez hop :
cacti.fr/cacti/include/
et la PAF :079 il liste le contenu de mon répertoire, après bien sur il ne peut pas récupérer le php puisque c’est déjà interprété mais il a déjà l’accès aux noms de tout les fichiers et les fichiers autres que php.
Comment empêcher le listage de la sorte ? :013 [/quote]
C’est dans la config d’apache il me semble, en tous les cas ça se règle là pour lighttpd : interdire la consultation des répertoires.

Pour le reste je ne sais trop que répondre, je n’utilise ni cacti, ni apache :006

Usti

#3

Bonjour,
Déjà merci pour ta réponse, si c’est à ne niveau la qu’il faut chercher c’est dejà une piste pour LE “problème”
Maintenant il me reste les quelques questions sur les droits des pages html ou php et des dossiers et leur incidences.

Je vais chercher :wink:

Kit’

EDIT :
Je viens de trouver un fichier httpd.conf qui existe mais qui est vide :108
Il y a un fichier apache2.conf je vais regarder dedans mais ce qui me perturbe c’est vraiment ce httpd vide surtout que dans les quelques liens que j’ai vu suite à ton message il parle de ce fichier :116

EDIT 2 :
Je viens finalement de trouver c’était dans le sous dossier site-enabled ou site-available ( va falloir que j’aille bouquiner pour bien saisir la diff ^^ )
Et la magie il y a ces options :

<Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all

je crois avoir la réponse ^^

Merci déjà pour la piste :slightly_smiling:

#4

C’est bein parce que tu es Périgourdin que je vais faire l’effort de chercher comment j’ai pratiqué :laughing:
Retour dans quelques temps, quand j’aurai remis ma mémoire en place :unamused:

#5

Je crois me souvenir que j’ai tout simplement mis un fichier .htaccess à chaque racine.
Celui qui veut remonter se trouve dirigé sur la 404.

php 1 ErrorDocument 404 /404.html
Mais ce n’est ptet pas ce que tu cherches ???

#6

Je ne suis pas un Périgourdin mais un Normand on se défend pas mal non plus :mrgreen:

Je t’en prie prend le temps qu’il te faut :laughing:

EDIT :

Merci de ta réponse.

D’accord, mais ce fichier .htaaccess ne va pas poser de problème quand des autres pages vont pointer vers des pages des dossier proteger ?
Dans le .htaaccess tu as mis un user et mdp c’est juste un fichier comme ça ? ( dans mes souvenir il y avait .htaccess et .htapasswd ? )

Merci en tout cas ! :slightly_smiling:

#7

J’avoue que je ne comprends pas bien ta requête.
Veux-tu parler de pages web privées ?
Sois plus explicite ou fait un croquis.
ou mieux, donne un exemple concret

#8

Je ne veux pas que quelqu’un puisse lister le contenu d’un répertoire ce qui est le cas actuellement.
Exemple pour mon cacti je fais : 192.168.0.28\cacti
j’arrive donc sur mon cacti pas de problème.
En revanche si je fais : 192.168.0.28\cacti\include\ et bien tout le contenu du répertoire est visible, ce qui me dérange, même si les fichiers .php d’identification ne sont pas récupérable/lisible c’est tout de même génant pour les images ou le .html (enfin ça me perturbe quoi :mrgreen: )

et pour finir

Tu n’avais peut être pas bien compris ma demande, en revanche ta réponse était pertinente car elle m’a permis de comprendre. :laughing:
Je pense donc que pour bloquer le listage des dossiers de ton site tu as mis ce fichier :

[quote]2) Directement dans le répertoire racine du serveur Web:

Cette configuration n’est possible que si la directive AllowOverride Indexes ou AllowOverride All est activée sur le répertoire dans la configuration du serveur ou de l’hôte virtuel

Créer un fichier .htaccess contenant
1 Options -Indexes

et l’envoyer dans le répertoire qui ne doit pas afficher l’index. La directive se répercutera dans les sous-répertoires si elle est placée à la racine du serveur Apache.[/quote]
Src : yapasdequoi.com/apache/149-d … oires.html

Je vais essayer tout ça, merci à vous deux pour vos solutions !
Juste si quelqu’un peut m’expliquer l’utilité des permissions en 440 ou 640 pour les fichiers des sites car je ne vois aucunes différences de sécurité en tout cas côté attaque externe.

Kit’

#9

La solution se trouve dans la directive “Options” avec le paramètre “-Indexes”

httpd.apache.org/docs/2.2/fr/mod … ml#options

On peut mettre ça dans un fichier .htaccess dans les dossiers concernés, ou alors directement dans le fichier de conf de Apache.

wiki.apache.org/httpd/DirectoryListings

Au boulot :stuck_out_tongue:

#10

C’est fait et ça semble bien marcher :slightly_smiling:
Bon et bien c’est désormais une affaire qui roule !

Une question fail2ban qui surveille les log apache c’est suffisant non ?

Merci à vous.

Kit’

#11

ça dépend quels jails sont configurés…

c’est toujours un plus mais ce n’est pas la protection ultime.

#12

As tu des noms d’autres solutions je ne connais que fail2ban dans ce cas présent ou autre grosse solution mais pas a usage domestique ^^

#13

pour Apache, il y a modsecurity

youresuchageek.blogspot.fr/2012/ … -your.html

(je n’ai pas d’expérience avec :stuck_out_tongue: )

#14

Petit retour :

Merci pour tous vos commentaires.

J’ai maintenant mis en marche la solution.

J’ai jeté un oeil sur modsecu mais je regarderais plus tard :slightly_smiling:

Merci à vous

Kit’ :006