Sécurisation LAMP/répertoire de travail

Maxdeconde · Février 21, 2016, 4:49pm

Bonjour à tous,

J’ai suivi un tuto pour sécuriser lamp, ou plutôt sécuriser ces répertoires de travail.

Pour faire court, j’ai maintenant 2 répertoires :
/media/www-dev/public et /media/www-dev/private

J’ai un lien symbolique créé dans /var/www/, donc j’ai :
/var/www/public et /var/www/private

Maintenant, pour accéder à mon public, je dois faire dans mon navigateur : NOMDEDOMAINE

Pour l’instant, ça ne marche pas. Donc, comment faire pour que le “public” soit vu comme la racine… ?

De plus, à l’Etape 2.6 “Éviter le 403”, Le gars précise qu’il faut mettre des informations, mais on ne sait pas dans quel fichier ?! Amateurs, professionnels en administration réseau, pourriez-vous m’aiguiller sur cette étape ?

Merci de votre lecture.

Kristy · Février 21, 2016, 4:55pm

Si tu faisais la redirection dans ton fichier vhost vers le répertoire public c’est bon non ?
Quelque chose comme <VirtualHost *:80> ServerName NOMDEDOMAINE DocumentRoot /var/www/public <Directory /var/www/public> Options -Indexes FollowSymLinks </Directory> </VirtualHost>

par conte c’est sur après si t’écris “http://NOMDEDOMAINE/private” ca marchera plus hein… t’auras à faire un vhost avec “http://private.nomdedomaine/” vers ton “/var/www/private”.
Et ensuite dans ton fichier vhost tu peux mettre la partie “private” accessible qu’a certaines ip, comme ca elle est vraiment privée .

Dans ton fichier vhost, si jreprends le bout du fichier vhost que jt’ai donné en exemple au dessus ca donne :

<VirtualHost *:80>
ServerName NOMDEDOMAINE
DocumentRoot /var/www/public
<Directory /var/www/public>
ErrorDocument 403 "http://domain.tld/public"
Options -Indexes FollowSymLinks
</Directory>
Order deny,allow
Allow from tonip ipdetonpote ipdetonautrepote
</VirtualHost>

Et comme préciser dans ton tuto (je n’ai pas du tout tester le truc hein) tu fais la même chose pour le vhost private.

J’espère avoir répondu à ta demande .

Maxdeconde · Février 21, 2016, 4:55pm

Oui, tu as éclairé certaines de mes lanternes. Je vais approfondir ça ASAP. Pour l’instant je galère à changer le répertoire de mon owncloud (mais je pense que ça doit être lié…)

Maxdeconde · Février 21, 2016, 4:57pm

MODE HEADACHE: ON…

ça ne marche pas.

Mon installation :
Hébergement mutualisé chez OVH, avec un nom de domaine DOMAINCHE.fr
J’ai une IP fixe @home… J’ai donc configuré mon NAS pour y accéder de l’extérieur : serveur.DOMAINCHE.fr

Arrivé d’un raspberry pi à la maison… Cool… Mais du coup, mon serveur.DOMAINCHE.fr n’est plus si justifié, j’aurai du faire un maison.DOMAINCHE.fr (ben ouais, IP fixe sur la maison complète et non sur uniquement le serveur…)… pas grave

Maintenant, je voudrais pouvoir faire un serveur.DOMAINCHE.fr/owncloud pour accéder à mon dossier owncloud sur le raspberry pi.

ça marche sans problème avec un dossier owncloud dans /var/www/.

Mais ça ne marche plus en mettant en place le tuto précédemment cité, qui me force à faire : serveur.DOMAINCHE.fr/public/owncloud

Je veux vraiment que le root (dans l’adresse) soit / et non /public

Voici mon /etc/apache2/sites-available/default :

[code]<VirtualHost *:80>
ServerAdmin maxime.DOMAINCHE@gmail.com
ServerName www.serveur.DOMAINCHE.fr
DocumentRoot /var/www/public

Options FollowSymLinks
AllowOverride None

<Directory /var/www/>
ErrorDocument 403 "http://serveur.DOMAINCHE.fr"
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order deny,allow
deny from all
allow from 127.0.1.1 # local
allow from 192.168.0.1/24 # reseau

ZONE PUBLIQUE

Alias /public /media/www-dev/public
<Directory /media/www-dev/public>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
Allow from all

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
	AllowOverride None
	Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
	Order allow,deny
	Allow from all
</Directory>

ErrorLog ${APACHE_LOG_DIR}/error.log

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn

CustomLog ${APACHE_LOG_DIR}/access.log combined

[/code]

Malgré cette modification, je suis toujours obligé de faire une : serveur.DOMAINCHE.fr/public/owncloud

Une idée ?

(dans le doute, je vais faire un reboot de machine…