Active dierctory

8/20/2019 Active dierctory

http://slidepdf.com/reader/full/active-dierctory 1/50

© F .

N o l o t

Master 1 STIC-Informatique 1

Configuration du serveur Web Apache



© F .

N o l o t



Pourquoi Apache ?



© F

. N o l o t


Quelques chiffres

http://news.netcraft.com, surveille l'utilisation des sst!mesd'e"ploitation et serveurs web des principales soci#t#s.


http://slidepdf.com/reader/full/active-dierctory 4/50 © F

. N o l o t


$onctionnalit#s

Configuration asse% simple

&imitation possible des acc!s au" r#pertoires

ar l'administrateurar les utilisateurs sur les r#pertoires dont ils ont les auteurs

Acc!s s#curis# en fonction des adresses (

Chargement de modules pour a)outer de nouvelles fonctionnalit#s *php,msql, ssl, ... +

ossibilit# de r##crire les adresses web la vol#eAu lieu d'afficher dans l'urlhttp://www.mondomaine.com/toto.php-id0, on va faire afficherhttp://www.mondomaine.com/toto0.html

1#bergements de plusieurs sites web sur un m2me serveur *via les3irtual1osts+

4ise en place d'authentification http5st!me de log personnalisable

http://www.mondomaine.com/toto14.html

http://www.mondomaine.com/toto14.html



© F

. N o l o t



Les paramètres de base



© F

. N o l o t


&es param!tres de base *+

5erver6pe standalone : 7 valeurs possibles

standalone pour un serveur autonome

inetd si c'est le gestionnaire de service inetd *ou "inetd+ qui r#ceptionneles requ2tes http et les envoie serveur Web. 8ans ce cas, il ne faut pasoublier de configurer le service http dans inetd *ou "inetd+

5erver9oot /var/lib/apache : d#finit le r#pertoire d'installation du serveur

8ocument9oot /var/www : d#finit le r#pertoire dans lequel le site web eststoc#. ;#n#ralement c'est /var/www ou /var/www/html

6imeout <== : temps d'attente ma"imal du serveur d'une r#ponse d'unprogramme de traitement e"terne *parseur 1, script C;(, ...+ A e"pirationde ce temps, le serveur envoie une erreur au client et au programmee"terne lui ordonnant d'arr2ter son e"#cution.

>eepAlive on : autorise les conne"ions persistantes. 8!s qu'un client s'estconnect#, si la conne"ion est persistante, il va pouvoir envoer plusieursrequ2tes la fois. ?lles seront ainsi trait#es plus rapidement



© F

. N o l o t


&es param!tres de base *7+

4a">eepAlive9equests == : indique le nombre ma"imum derequ2te par conne"ion. = indique une quantit# infini @

5i le serveur est tr!s sollicit#, il faudra dans un premier temps diminuercette quantit# puis si les probl!mes persistes, mettre >eepAlive ff.&es conne"ions persistantes peuvent emp2cher d'autres utilisateursd'obtenir leur r#ponse.

>eepAlive6imeout B: valeur d'attente de la requ2te suivantevenant d'un m2me client avant d'envoer un timeout au client

4in5pare5ervers B et 4a"5pare5ervers = : cela sert l'autor#gulation de la charge du serveur. 5i le nombre de processusenfant du serveur dans l'#tat idle *ne traitant aucune requ2te+ estinf#rieur 4in5pare5ervers, le serveur en cr#e un. 5i ce nombreest sup#rieur 4a"5pare5ervers, alors il en supprime un

&a modification de ces param!tres est faire uniquement sur desserveurs tr!s charg#s, devant r#pondre de nombreuses requ2tes



© F

. N o l o t


&es param!tres de base *<+

5tart5ervers B : nombre de serveur lancer au d#marrage

4a"Clients B= : indique le nombre ma"imum de serveurs pouvant

fonctionner simultan#ment&e nombre ma"imum est de 7B. our pouvoir d#passer cette limite, ilfaut recompiler le serveur apr!s modification de 1A98D5?93?9D&(4(6dans httpd.h

?"tended5tatus on : retourner des informations d#taill#es surl'activit# et les performances du serveur

$onctionne que si le module modDstatus est charg# et si une directiveE&ocation /serverFstatusG 5et1andler serverFstatus E/&ocationG

ort H= : port d'#coute du serveur

Iser www et ;roup www : d#termine l'utilisateur et le groupeutilis#s par le serveur. Ne jamais mettre root



© F

. N o l o t


&es param!tres de base *0+

5erverAdmin email : email de l'admin

5erverJame non.domain.fr : nom et domaine du serveur

8ocument9oot /var/www : r#pertoire utilis# pour le stocage des pages164& du site racine

1ostname&ooups ff : indique si le serveur enregistre le nom *on+ ou bienl'( *off+ du client qui se connecte

CacheJegotiated8ocs : autorise ou pas les pro"ies mettre les documentsen cache. our refuser cette mise en cache, commente% cette ligne *avec unK en d#but de ligne+

8efault6pe te"t/plain : d#finit le tpe 4ime des documents transmis par leserveur. 8ans le cas de diffusion ma)oritairement d'images ou streaming,mettre application/octetFstream pour #viter que les clients affichent descaract!res #tranges uLMdNgge,sOdgPf

5erver5ignature on : retourne la version du serveur en signature

Alias /icons /usr/share/apache/icons : permet de faire des alias



© F

. N o l o t


Archivage des erreurs

?rror&og /var/log/apache/error.log : chemin du fichier utilis# pour stocer les messagesd'erreurs du serveur

&og&evel warn : d#finit le niveau d'enregistrement des erreurs. &es valeurs possibles

sont :emerg : enregistre seulement les erreurs qui rendent le serveur inutilisable

alert : emerg R erreurs n#cessitant une intervention

crit : SemergS R SalertS R erreurs critiques *acc!s r#seau impossible par e"emple+

error : SemergS R SalertS R ScritS R erreurs dans les pages, les scripts

warn : SemergS R SalertS R ScritS R SerrorS R erreurs non bloquantes *pages malcod#es, scripts comportant des erreurs non bloquantes...+

notice : normal mais information significative

info : SemergS R SalertS R ScritS R SerrorS R SwarnS R toutes les informationsg#n#r#es du tpe T serveur surFcharg# V

debug : enregistre 6I6 ce qui peut se passer sur le serveur

4ettre tou)ours au moins le niveau error



© F

. N o l o t


Alias sur des r#pertoires

5upposons que l'on d#sire acc#der au r#pertoirehttp://www.monsite.com/docs

5i nous avons 8ocument9oot /home/www, alors le serveur va allerlire /home/www/docs

5i docs est en r#alit# le r#pertoire /var/web, nous avons 7 solutions:

5oit on fait un lien smbolique *ln Fs /var/web /home/www/docs+ et ons'assure que l'option $ollow5m&ins ou 5m&ins(fwner4atch estpr#sente

5oit on utilise les alias :

Alias /docs /var/web

8ans ce cas, http://www.monsite.com/docs/files.html va lire ler#pertoire /var/web/files.html

http://www.monsite.com/docs






© F

. N o l o t



La directie !irector"



©

F .

N o l o t


&a directive 8irector

ermet de d#finir les r!gles sur des r#pertoires

E8irector S/var/lib/apache/htdocsSG

ptions (nde"es $ollow5mlins 4ultiviews

Allowverride Jone

rder allow,den

allow from all

E/8irectorG

8ans l'e"emple, avec les options, nous d#finissons les informationssuivantes :

inde"es : autorise le serveur fabriquer une liste des fichiers etr#pertoires disponibles

$ollow5mlins : autorise le serveur suivre des liens smboliques

4ultiviews : permet par e"emple d'afficher des pages en fonction de lalangue du client

Allowverride Jone : personne n'est autoris# red#finir les droits d'acc!s ce r#pertoire



©

F .

N o l o t


ptions dans 8irector

&iste des options possibles dans la directive 8irector

Jone : d#sactive toutes les options

All : active toutes les options, sauf multiviews

(nde"es : le serveur g#r# automatiquement un inde" du r#pertoire si le inde".htm*ou inde".html, ...+ est manquant option dangereuse en fonction du contenudu répertoire

Je modifie pas le chemin d'acc!s d#finit dans 8irector

ption ignor# dans une section E&ocationG

$ollow5m&ins : autorise suivre les liens smboliques

5m&ins(fwner4atch : autorise suivre les liens seulement si le user id dufichier sur lequel le lien pointe est le m2me que celui du lien

?"ecC;( : possibilit# d'e"#cution de scripts C;( partir de ce r#pertoire

4ultiviews : autorise les vues multiples en fonction du conte"te. ar e"emple, enfonction de la langue du client



© F .

N o l o t


ptions dans 8irector *7+

(ncludes : autorise l'inclusion de document dans des pages 164& avec la commandeE@FF Kinclude toto.shtmlFFG, ou bien l'e"#cution de commande comme ls

?"emple :

EhtmlG

EbodG

E@FFKe"ec cmdSlsS FFGEX9/G

&a date locale E@FFKecho varS8A6?D&CA&S FFG

E/bodG

E/htmlG

our plus d'info, voir http://httpd.apache.org/docs/howto/ssi.html

(ncludesJ?Y?C : permet les includes mais emp2che l'e"#cution de commande



© F .

N o l o t


&a directive Allowverride

Allowverride : d#finit les tpes de red#finitions autoris#es par le fichier de contrZled'acc!s

Allowverride All : autorise tous les tpes de red#finition de contrZle d'acc!s

Allowverride AuthConfig : active les directives d'autorisations*Auth8X4;roup$ile, Auth8X4Iser$ile, Auth;roup$ile, AuthJame,Auth8igest9ealm5eed, Auth6pe, AuthIser$ile, 9equire, ...+

Allowverride $ile(nfo : active les directives de contrZle des tpes de documents*Add?ncoding, Add&anguage, Add6pe, 8efault6pe, ?rror8ocument,&anguageriorit, etc.+

(nde"es : autorise les directives de cr#ation d'inde" d'un r#pertoire*Add8escription, Add(con, Add(conX?ncoding, Add(conX6pe, 8efault(con,8irector(nde", $anc(nde"ing, 1eaderJame, (nde"(gnore, (nde"ptions,9eadmeJame, etc.+

&imit : autorise les contrZles sur les acc!s des machines *Allow, 8en and rder+

ptions : autorise des contrZles sp#cifiques sur les fonctionnalit#s ptions

Jone : ne permet pas de red#finir les contrZles d'acc!s



© F .

N o l o t



Autres directies



© F .

N o l o t


&a directive <Files>

ermet de contrZler les acc!s sur un fichier, de la m2me mani!re que le faitE8irectorG sur les r#pertoires

;#n#ralement utilis# sur un ensemble de fichier particulier

Exemple : (nterdit tout client d'acc#der au" fichiers commen[ant par .ht

<Files ~ "^\.ht">

Order allow,deny

Deny from all

</Files>

5nta"e : E$iles FilenameG...E/$ileG

$ilename peut contenir un nom de fichier mais aussi une cha\ne de caract!reutilisant - pour remplacer un unique caract!re ou M pour remplacer n'importequelle s#quence de caract!res

&'utilisation d'e"pression r#guli!re est possible mais on a)oute alors le caract!re ]comme dans l'e"emple

lus d'info sur les e"pressions r#guli!res utilis#es dans Apache :http://www.perl.com/doc/manual/html/pod/perlre.html *ce sont les m2mes qu'en perl+

http://www.perl.com/doc/manual/html/pod/perlre.html

http://www.perl.com/doc/manual/html/pod/perlre.html



© F .

N o l o t



Les co#tr$%es d&accès



© F .

N o l o t


ContrZle sur les clients

(l est possible d'autoriser ou pas certain acc!s en fonction de l'adresse ( ou de l'adresser#seau du client

Exemple :

Order Allow, Deny

Allow from 192.168.0.0/24, 89.45.47.14

Deny from All

Order : d#termine l'ordre d'applications des r!gles allow et den

$onctionnement g#n#ral :

Order Deny, Allow

&a directive 8en est #valu#e en premier. ar d#faut, les acc!s sont autoris#s.In client est autoris# s'il ne v#rifie pas la directive 8en ou s'il v#rifie une

directive AllowOrder Allow, Deny

&a directive Allow est #valu#e en premier. ar d#faut, les acc!s sont refus#s.In client est refus# s'il ne v#rifie pas la directive Allow ou s'il v#rifie unedirective 8en

8ans l'e"emple : les clients d'adresse r#seau ^7.H.=.=/70 et H^.0B.0_.0 sontautoris#s et tous les autres sont refus#s

Cette directive est autoris#e dans <Directory> et .htaccess si le module modDaccess estcharg#



©

F .

N o l o t


&es htaccess -

(l est possible de red#finir les r!gles d'acc!s un r#pertoire enpla[ant dans celuiFci un fichier te"te appel# fichier de contrZled'acc!s dont le nom est d#finit par la directive Access$ileJame

Exemple :AccessFileName .htaccess d#finit le nom .htaccesspour le fichier de contrZle d'acc!s.

&es r!gles d'acc!s qu'il est possible de red#finir sont g#r#es par ladirective AllowOverride. our interdire les red#finitions, il suffit demettre AllowOverride none

5i la red#finition des droits est autoris#e, le serveur va v#rifierl'e"istence du fichier de contrZle d'acc!s dans tous les r#pertoiresdu chemin correspondant au" fichiers demand#s

Exemple :AccessFileName .htaccess et si la page demand#eest dans /home/www/doc/inde".html, le serveur va v#rifier ler#pertoire /.htaccess, /home/.htaccess, /home/www/.htaccess,

puis /home/www/doc/.htaccess



©

F .

N o l o t


Authentification *+

?"emple d'authentification http

Auth6pe Xasic

AuthJame Sassword 9equiredS

AuthIser$ile /www/passwords/password.file

9equire validFuser

ossibilit# de mettre ces lignes soit dans E8irectorG, soit dans unfichier de contrZle d'acc!s *si Allowverride AuthConfig est d#finit+



© F .

N o l o t


Authentification *7+

&'authentification basic *AuthType Basic) n#cessite la cr#ation d'un fichier de mot depasse

Cr#ation du mot de passe

htpasswd -c /www/passwords/password.file usernameFc quand on cr#e le fichier de mot de passe, sinon on ne met plus cette option

8#finit le fichier de mot de passe utiliser dans la configuration : AuthUserFile/www/passwords/password.file

(l est possible de donner l'acc!s qu' certaines personnes ou toutes personnes avecla directive Require

Require user toto tata tutu

Require valid-user(l est possible de d#finir des groupes de personnes dans un fichier te"te :

$ormat du fichier :

authors: rich daniel allan

AuthGroupFile /www/passwords/groups.file

Require group authors

8ans ce dernier cas, il faut alors avoir un login et mot de passe correcte et

appartenir au bon groupe



© F .

N o l o t


Authentification *<+

&'authentification basique n'est pas consid#r# comme s#curis# @ &e login et mot depasse transitent r#guli!rement sur le r#seau, chaque requ2te

Autres solutions :

Itilisation de mdB pour envoer le mot de passe

Cr#ation des mots de passe, obligation de donner le nom de l'authentificationqui utilisera ce fichier

htdigest Fc /var/www/digest realm username

?"emple de directive pour utiliser cette m#thode d'authentification

Auth6pe 8igest

AuthJame SrealmSAuth8igest$ile /usr/local/apache/passwd/digest

Auth8igest;roup$ile /usr/local/apache/passwd/digest.groups

9equire group admins

Itilisation de bases de donn#es 8X ou 8X4 : plus d'info surhttp://httpd.apache.org/docs/howto/auth.html



© F .

N o l o t


Authentification *0+

ossibilit# de faire des combinaisons de l'authentification avec lecontrZle d'acc!s en fonction des (

E8irector /usr/local/apache/htdocs/seritG

Auth6pe Xasic AuthJame intranet

AuthIser$ile /www/passwd/users

Auth;roup$ile /www/passwd/groups

9equire group customers

rder allow,den

Allow from internal.com Satisfy any

E/8irectorG

(l suffit de mettre toutes les directives et d'a)outer la fin ladirective 5atisf

5oit 5atisf an pour signaler que l'un des 7 contrZles est suffisant

5oit 5atisf all pour imposer la validation des 7 contrZles



© F .

N o l o t



Les 'irtua% (ost



© F .

N o l o t


8#finition

&es 3irtual 1ost permettent de faire correspondre un m2me serveurWeb plusieurs adresses diff#rentes

?"emple : www.mondomaine.com et intranet.mondomaine.com peuvent

2tre h#berg#s sur un m2me machine

7 tpes de 3irtual 1osts

JameFbased 3irtual 1osts

n utilise le nom envo# par le client dans l'I9& pour diff#rencierles serveurs virtuels

(Fbased 3irtual 1osts

on utilise des adresses ( diff#rentes pour chaque domaine

http://www.mondomaine.com/

http://www.mondomaine.com/



© F .

N o l o t


(Fbased ou JameFbased -

&imites des nameFbased

Je sont compatibles qu'avec des clients supportant 166/.

n ne peut pas utiliser avec des serveurs 55& de part la nature de 55&Certains sst!mes et r#seau" impl#mentent des optimisations de labande passante qui ne peuvent diff#rencier les clients sans que ce soitdes ( diff#rents

5i l'un de ces < cas risquent d'arriver sur votre r#seau, il estpr#f#rable de faire des virtual host bas# sur les (ps

8ans ce cas, obligation pour le serveur d'avoir plusieurs interfacesr#seau" et donc plusieurs adresses ( ou bien d'utiliser la technique desalias (



© F .

N o l o t


&es nameFbased virtual host

8#clarer l'adresse ( du serveur avec la directive Jame3irtual1ost

Cr#er un bloc E3irtual1ostG pour chaque hZte que vous voule%servir

8ans un bloc, au minimum, il doit avoir

Ine directive 5erverJame dont le nom d#signe celui que vous voule%servir

Ine directive 8ocument9oot qui d#signe la racine du site que vousserve%

5i vous faites des 3irtual hosts sur un serveur Web e"istant, quisert d#) une adresse, vous deve% faire un bloc E3irtual1ostG dontles directives 5erverJame et 8ocument9oot porteront les m2mesparam!tres que les directives globales

Attention : &a 8J5 doit correctement 2tre configur#e pourretourner la m2me adresse ( plusieurs domaines



© F .

N o l o t


&es (Fbased virtual host

Le serveur doit avoir des adresses IP différentes pourchaque host virtuel

7 solutions :

In d#mon http par (

A utiliser dans le cas ou l'on veut restreindre les acc!s avec lesdirectives Iser, ;roup, &isten et 5erver9oot

In unique d#mon qui utilise des hosts virtuels

&a configuration se fait de la m2me mani!re que pour les nameF

based virtual host



©

F .

N o l o t


Configuration du serveur $tp roftpd



©

F .

N o l o t


Configuration du serveur $tp roftpd

)appe% sur *+P



©

F .

N o l o t


$6 : (ntroduction

5ervice d#fini au d#part par la 9$C ^B^ *^HB+

Avant l'apparition de 166, protocole de transfert de fichiers le plusutilis#.

5upport# par la plupart des navigateurs Web ainsi que par desclients sp#cialis#s.

5erveur $6 T classique V: wuFftpd *Iniversit# de Washington+

Ce cours se base sur proftpd, beaucoup plus puissant etconfigurable.



©

F .

N o l o t


$6 : avantages et inconv#nients

Au lieu de $6, on peut aussi utiliser 166 pour transf#rer desfichiers.

Avantages de $6 :

ossibilit# de reprise d'un transfert interrompu.

T Ipload V plus simple configurer.

Connections s#par#es pour T contrZle V et T donn#es V .

...

(nconv#nients;estion d'un service suppl#mentaire sur les serveurs

Certains anciens clients $6 ont des probl!mes avec les T firewall V

9isque suppl#mentaire pour la s#curit#

...



©

F .

N o l o t


Configuration du serveur $6 roftpd

Pourquoi Pro,tpd ?





©

F .

N o l o t


Configuration du serveur $6 roftpd

-o#,i.uratio#



©

F .

N o l o t


Configuration de base

5ur les distributions 8ebian et 9ed1at, lors de l'installation deproftpd

l'installation peut cr#er un r#pertoire ftp anonme */home/ftp+

ar d#faut, chaque utilisateur peut de se logger dans son r#pertoirehome

ar convention, les fichiers publics sont plac#s dans

/home/ftp/pub si l'acc!s anonme est autoris#

Certaines distributions permettent au" utilisateurs anonmes d' T

uploader V des fichiers g#n#ralement dans le r#pertoire/home/ftp/pub/incoming



©

F .

N o l o t


&a s#curit# sur proftpd

&e serveur cr#e un sousFprocessus par conne"ion, avec un I(8sp#cifi# par le fichier de configuration.

Apr!s avoir cr## et initialis# ce sousFprocessus, le serveur peut

effectuer un T chroot V sur un r#pertoire sp#cifi#.

&es directives T 8irector V et T &imit V peuvent entre autres 2treutilis#es pour limiter l'acc!s des fichiers ou des r#pertoires.

&es informations sur les utilisateurs et les groupes peuvent venirde plusieurs sources : fichiers /etc/passwd et /etc/group *pard#faut+ mais aussi d'autres fichiers de m2me structure ou bien deserveur &8A, de bases de donn#es 5Q&, etc...

&es permissions de ro$68 ne se substituent pas celles dusst!me @



©

F .

N o l o t


&e fichier de configuration

;#n#ralement, ce fichier est le fichier suivant : /etc/proftpd.conf

Comme celui d'Apache, le fichier de configuration contient desdirectives globales *hors de tout conte"te particulier+, et des

directives l'int#rieur d'un T conte"te V, par e"emple dans un#l#ment E8irectorG

&es directives globales s'appliquent au serveur dans son ensemble,les autres au conte"te dans lequel elles apparaissent

&es principau" conte"tes d#finis sont T 8irector V *r#pertoire+, T&imit V *commandes+, T Anonmous V *acc!s anonme+ et T3irtual1ost V *serveur virtuel+



©

F .

N o l o t


&istes des utilisateurs et des groupes

&es commandes Allow;roup, AllowIser, 8en;roup et 8enIserpeuvent prendre en param!tre une liste de groupes oud'utilisateurs

Ine telle liste est constitu#e d'une suite de nom d'utilisateurs ou degroupes, s#par#s par des virgules

n peut e"clure e"plicitement un utilisateur ou un groupe enpr#c#dant son nom dans la liste par le caract!re T @ V



©

F .

N o l o t


8irectives globales

5erverAdmin admin_email_address : d#finit l'adresse eFmail del'administrateur du serveur.

5erverJame name : d#finit le nom du serveur *peut 2tre red#fini par 3irtual

1ost+.5erver6pe type : T tpe V ne peut prendre que deu" valeurs :standalone sile serveur est lanc# au d#marrage du sst!me, et inetd si le serveur estlanc# par inetd.

8efault9oot rpertoire liste_de_!roupes : #tablit le r#pertoire racine pour lesmembres des groupes sp#cifi#s. In utilisateur ne peut pas T remonter V endessus de son r#pertoire racine.

&e caract!re T ] V est remplac# par le r#pertoire T home V de l'utilisateur.

(l a encore beaucoup d'autres directives. Consulte% la liste pour plus ded#tails.



©

F .

N o l o t


&es conte"tes

E8irector "#emin G...E/8irectorG : pr#cise que les directives incluess'appliquent au r#pertoire de nom T "#emin V *avec e"pansion desm#tacaract!res+

EAnonmous "#emin$ ... E/AnonmousG : : pr#cise que les directivesinclues s'appliquent au r#pertoire de nom T "#emin V, qui sera le r#pertoireracine pour les acc!s anonmes

E&imit "ommande ...G E/&imitG : pr#cise que les restrictions ouautorisations inclues s'appliquent la commande T "ommande V

5i plusieurs conte"tes s'appliquent un fichier donn#, ils s'appliquent par Tpr#cision V d#croissante.



©

F .

N o l o t


Commandes du conte"te &imit

8ans la directive E&imit "ommande ...G, l'argument commande peut prendre commevaleur soit l'une des commandes d#finies par le protocole ftp, soit un groupe decommandes

&es commandes $6 :

4>8 / Y4>8 *4a>e 8irector+ : cr#er un nouveau r#pertoire

9J$9 *9eJame $9om+, 9J6 *9eJame 6+ : renommer un r#pertoire

8?&? *8?&?te+ ?ffacer un fichier

948 / Y948 *9e4ove 8irector+ 5upprimer un r#pertoire

9?69 *9?69ieve+ 6ransferer un fichier depuis le serveur vers le client

569 *569e+ 6ransf#rer un fichier du client vers le serveur

;roupe de commandes :9?A8 : toute lecture de fichiers l'e"ception de la lecture d'un r#pertoire *9?69,5(6?, 5(`?, 56A6+

W9(6? : toute cr#ation, modification ou effacement de fichiers ou de r#pertoires*A?, 8?&?, 4>8, 948, 9J6, 569, Y4>8, Y948+

8(95 : listage des r#pertoires *C8I, CW8, &(56, 4864, J&56, W8, 9J$9, YCI,YCW8, YW8+

A&& : toutes les op#rations



©

F .

N o l o t


&a directive E&imit &;(JG

ermet de limiter les acc!s au" serveurs via les commandes Allowfrom et 8en from

Je fonctionne pas e"actement de la m2me mani!re que pour

Apache avec la directive rder5i rder n'est pas sp#cifi#, par d#faut, c'est rder Allow,8en qui estappliqu#

Avec rder Allow, 8en les directives Allow sont #valu#es en premier

5i une directive Allow est v#rifi#s, l'acc#s est accord#

5inon, soit une directive 8en est v#rifi# et l'acc!s est refus# sinonil est accord#

ossibilit# de d#finir un conte"te &;(J globale mais aussi dans lesconte"tes EAnonmousG, E8irectorG et E3irtual1ostG



©

F .

N o l o t


&es autorisations

Allow from addr_ip ... : comme dans la configuration d'Apache, permetl'acc!s au" adresses ( list#es *qui peuvent 2tre des adresses de r#seau"+

AllowAll : permet tout acc!s

Allow;roup liste_de_!roupes : permet l'acc!s par groupe selon le contenude la liste de groupes

AllowIser liste_utilisateurs : permet l'acc!s par utilisateur selon le contenude la liste d'utilisateurs

Allowverwrite % on & ou % off & : selon que le param!tre soit T on V ou T offV, autorise ou interdit l'#crasement des fichiers e"istants par les utilisateurs

athAllow$ilter expression_r!uli're : re)ette tous les T uploads V dont lenom de fichier ne correspond pas expression_r!uli're .



©

F .

N o l o t


&es interdictions

8en from addr_ip ... : interdit l'acc!s au" adresses ( list#es *qui peuvent2tre des adresses de r#seau"+

8enAll : interdit tout acc!s

8en;roup liste_de_!roupes : interdit l'acc!s par groupe selon le contenu dela liste de groupes

8enIser liste_utilisateurs : interdit l'acc!s par utilisateur selon le contenude la liste d'utilisateurs

ath8en$ilter expression_r!uli're : re)ette tous les T uploads V dont lenom de fichier correspond expression_r!uli're



©

F .

N o l o t


&es logs

ar d#faut, ro$68 a)oute des informations dans un fichier de log chaque transfert de fichier.

sous 8ebian, ce fichier est /var/log/"ferlog

sous 4andrae, plusieurs fichiers se trouvent dans /var/log/proftpd/

(l est possible d'obtenir des logs plus d#taill#s en utilisant ladirective ?"tended&og.



©

F .

N o l o t


&es 3irtual 1osts

ro$68 permet de configurer plusieurs serveurs virtuels par machinephsique

&a directive E3irtual1ost adresse$ .. E/3irtual1ostG d#finit un conte"te de

serveur virtuel. &es directives qu'elle contient ne s'appliqueront qu' ceserveur virtuel

&'adresse sp#cifie l'interface auquel le serveur virtuel va 2tre attach#

8eu" serveurs virtuels peuvent partager la m2me adresse s'ils utilisent desports diff#rents *directive ort numro_de_port +

Itilit#: par e"emple pour des providers qui veulent h#berger les services ftpde plusieurs clients de mani!re ind#pendante sur la m2me machine



©

F .

N o l o t


&es modules

ro$6 a une architecture modulaire et peut inclure de nombreusesfonctionnalit#s suppl#mentaires dont par e"emple:

Acc!s un annuaire &8A

5tocage des informations d'authentification dans une base 5Q&*modDsqlpw+

9apport upload/download en nombre de fichier ou en octet *modDratio+

...

Documents

Active dierctory