Upload
soula11
View
212
Download
0
Embed Size (px)
Citation preview
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 1/50
© F .
N o l o t
Master 1 STIC-Informatique 1
Configuration du serveur Web Apache
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 2/50
© F .
N o l o t
Master 1 STIC-Informatique 2
Configuration du serveur Web Apache
Pourquoi Apache ?
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 3/50
© F
. N o l o t
Master 1 STIC-Informatique 3
Quelques chiffres
http://news.netcraft.com, surveille l'utilisation des sst!mesd'e"ploitation et serveurs web des principales soci#t#s.
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 4/50 © F
. N o l o t
Master 1 STIC-Informatique 4
$onctionnalit#s
Configuration asse% simple
&imitation possible des acc!s au" r#pertoires
ar l'administrateurar les utilisateurs sur les r#pertoires dont ils ont les auteurs
Acc!s s#curis# en fonction des adresses (
Chargement de modules pour a)outer de nouvelles fonctionnalit#s *php,msql, ssl, ... +
ossibilit# de r##crire les adresses web la vol#eAu lieu d'afficher dans l'urlhttp://www.mondomaine.com/toto.php-id0, on va faire afficherhttp://www.mondomaine.com/toto0.html
1#bergements de plusieurs sites web sur un m2me serveur *via les3irtual1osts+
4ise en place d'authentification http5st!me de log personnalisable
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 5/50
© F
. N o l o t
Master 1 STIC-Informatique 5
Configuration du serveur Web Apache
Les paramètres de base
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 6/50
© F
. N o l o t
Master 1 STIC-Informatique 6
&es param!tres de base *+
5erver6pe standalone : 7 valeurs possibles
standalone pour un serveur autonome
inetd si c'est le gestionnaire de service inetd *ou "inetd+ qui r#ceptionneles requ2tes http et les envoie serveur Web. 8ans ce cas, il ne faut pasoublier de configurer le service http dans inetd *ou "inetd+
5erver9oot /var/lib/apache : d#finit le r#pertoire d'installation du serveur
8ocument9oot /var/www : d#finit le r#pertoire dans lequel le site web eststoc#. ;#n#ralement c'est /var/www ou /var/www/html
6imeout <== : temps d'attente ma"imal du serveur d'une r#ponse d'unprogramme de traitement e"terne *parseur 1, script C;(, ...+ A e"pirationde ce temps, le serveur envoie une erreur au client et au programmee"terne lui ordonnant d'arr2ter son e"#cution.
>eepAlive on : autorise les conne"ions persistantes. 8!s qu'un client s'estconnect#, si la conne"ion est persistante, il va pouvoir envoer plusieursrequ2tes la fois. ?lles seront ainsi trait#es plus rapidement
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 7/50
© F
. N o l o t
Master 1 STIC-Informatique 7
&es param!tres de base *7+
4a">eepAlive9equests == : indique le nombre ma"imum derequ2te par conne"ion. = indique une quantit# infini @
5i le serveur est tr!s sollicit#, il faudra dans un premier temps diminuercette quantit# puis si les probl!mes persistes, mettre >eepAlive ff.&es conne"ions persistantes peuvent emp2cher d'autres utilisateursd'obtenir leur r#ponse.
>eepAlive6imeout B: valeur d'attente de la requ2te suivantevenant d'un m2me client avant d'envoer un timeout au client
4in5pare5ervers B et 4a"5pare5ervers = : cela sert l'autor#gulation de la charge du serveur. 5i le nombre de processusenfant du serveur dans l'#tat idle *ne traitant aucune requ2te+ estinf#rieur 4in5pare5ervers, le serveur en cr#e un. 5i ce nombreest sup#rieur 4a"5pare5ervers, alors il en supprime un
&a modification de ces param!tres est faire uniquement sur desserveurs tr!s charg#s, devant r#pondre de nombreuses requ2tes
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 8/50
© F
. N o l o t
Master 1 STIC-Informatique 8
&es param!tres de base *<+
5tart5ervers B : nombre de serveur lancer au d#marrage
4a"Clients B= : indique le nombre ma"imum de serveurs pouvant
fonctionner simultan#ment&e nombre ma"imum est de 7B. our pouvoir d#passer cette limite, ilfaut recompiler le serveur apr!s modification de 1A98D5?93?9D&(4(6dans httpd.h
?"tended5tatus on : retourner des informations d#taill#es surl'activit# et les performances du serveur
$onctionne que si le module modDstatus est charg# et si une directiveE&ocation /serverFstatusG 5et1andler serverFstatus E/&ocationG
ort H= : port d'#coute du serveur
Iser www et ;roup www : d#termine l'utilisateur et le groupeutilis#s par le serveur. Ne jamais mettre root
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 9/50
© F
. N o l o t
Master 1 STIC-Informatique 9
&es param!tres de base *0+
5erverAdmin email : email de l'admin
5erverJame non.domain.fr : nom et domaine du serveur
8ocument9oot /var/www : r#pertoire utilis# pour le stocage des pages164& du site racine
1ostname&ooups ff : indique si le serveur enregistre le nom *on+ ou bienl'( *off+ du client qui se connecte
CacheJegotiated8ocs : autorise ou pas les pro"ies mettre les documentsen cache. our refuser cette mise en cache, commente% cette ligne *avec unK en d#but de ligne+
8efault6pe te"t/plain : d#finit le tpe 4ime des documents transmis par leserveur. 8ans le cas de diffusion ma)oritairement d'images ou streaming,mettre application/octetFstream pour #viter que les clients affichent descaract!res #tranges uLMdNgge,sOdgPf
5erver5ignature on : retourne la version du serveur en signature
Alias /icons /usr/share/apache/icons : permet de faire des alias
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 10/50
© F
. N o l o t
Master 1 STIC-Informatique 10
Archivage des erreurs
?rror&og /var/log/apache/error.log : chemin du fichier utilis# pour stocer les messagesd'erreurs du serveur
&og&evel warn : d#finit le niveau d'enregistrement des erreurs. &es valeurs possibles
sont :emerg : enregistre seulement les erreurs qui rendent le serveur inutilisable
alert : emerg R erreurs n#cessitant une intervention
crit : SemergS R SalertS R erreurs critiques *acc!s r#seau impossible par e"emple+
error : SemergS R SalertS R ScritS R erreurs dans les pages, les scripts
warn : SemergS R SalertS R ScritS R SerrorS R erreurs non bloquantes *pages malcod#es, scripts comportant des erreurs non bloquantes...+
notice : normal mais information significative
info : SemergS R SalertS R ScritS R SerrorS R SwarnS R toutes les informationsg#n#r#es du tpe T serveur surFcharg# V
debug : enregistre 6I6 ce qui peut se passer sur le serveur
4ettre tou)ours au moins le niveau error
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 11/50
© F
. N o l o t
Master 1 STIC-Informatique 11
Alias sur des r#pertoires
5upposons que l'on d#sire acc#der au r#pertoirehttp://www.monsite.com/docs
5i nous avons 8ocument9oot /home/www, alors le serveur va allerlire /home/www/docs
5i docs est en r#alit# le r#pertoire /var/web, nous avons 7 solutions:
5oit on fait un lien smbolique *ln Fs /var/web /home/www/docs+ et ons'assure que l'option $ollow5m&ins ou 5m&ins(fwner4atch estpr#sente
5oit on utilise les alias :
Alias /docs /var/web
8ans ce cas, http://www.monsite.com/docs/files.html va lire ler#pertoire /var/web/files.html
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 12/50
© F
. N o l o t
Master 1 STIC-Informatique 12
Configuration du serveur Web Apache
La directie !irector"
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 13/50
©
F .
N o l o t
Master 1 STIC-Informatique 13
&a directive 8irector
ermet de d#finir les r!gles sur des r#pertoires
E8irector S/var/lib/apache/htdocsSG
ptions (nde"es $ollow5mlins 4ultiviews
Allowverride Jone
rder allow,den
allow from all
E/8irectorG
8ans l'e"emple, avec les options, nous d#finissons les informationssuivantes :
inde"es : autorise le serveur fabriquer une liste des fichiers etr#pertoires disponibles
$ollow5mlins : autorise le serveur suivre des liens smboliques
4ultiviews : permet par e"emple d'afficher des pages en fonction de lalangue du client
Allowverride Jone : personne n'est autoris# red#finir les droits d'acc!s ce r#pertoire
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 14/50
©
F .
N o l o t
Master 1 STIC-Informatique 14
ptions dans 8irector
&iste des options possibles dans la directive 8irector
Jone : d#sactive toutes les options
All : active toutes les options, sauf multiviews
(nde"es : le serveur g#r# automatiquement un inde" du r#pertoire si le inde".htm*ou inde".html, ...+ est manquant option dangereuse en fonction du contenudu répertoire
Je modifie pas le chemin d'acc!s d#finit dans 8irector
ption ignor# dans une section E&ocationG
$ollow5m&ins : autorise suivre les liens smboliques
5m&ins(fwner4atch : autorise suivre les liens seulement si le user id dufichier sur lequel le lien pointe est le m2me que celui du lien
?"ecC;( : possibilit# d'e"#cution de scripts C;( partir de ce r#pertoire
4ultiviews : autorise les vues multiples en fonction du conte"te. ar e"emple, enfonction de la langue du client
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 15/50
© F .
N o l o t
Master 1 STIC-Informatique 15
ptions dans 8irector *7+
(ncludes : autorise l'inclusion de document dans des pages 164& avec la commandeE@FF Kinclude toto.shtmlFFG, ou bien l'e"#cution de commande comme ls
?"emple :
EhtmlG
EbodG
E@FFKe"ec cmdSlsS FFGEX9/G
&a date locale E@FFKecho varS8A6?D&CA&S FFG
E/bodG
E/htmlG
our plus d'info, voir http://httpd.apache.org/docs/howto/ssi.html
(ncludesJ?Y?C : permet les includes mais emp2che l'e"#cution de commande
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 16/50
© F .
N o l o t
Master 1 STIC-Informatique 16
&a directive Allowverride
Allowverride : d#finit les tpes de red#finitions autoris#es par le fichier de contrZled'acc!s
Allowverride All : autorise tous les tpes de red#finition de contrZle d'acc!s
Allowverride AuthConfig : active les directives d'autorisations*Auth8X4;roup$ile, Auth8X4Iser$ile, Auth;roup$ile, AuthJame,Auth8igest9ealm5eed, Auth6pe, AuthIser$ile, 9equire, ...+
Allowverride $ile(nfo : active les directives de contrZle des tpes de documents*Add?ncoding, Add&anguage, Add6pe, 8efault6pe, ?rror8ocument,&anguageriorit, etc.+
(nde"es : autorise les directives de cr#ation d'inde" d'un r#pertoire*Add8escription, Add(con, Add(conX?ncoding, Add(conX6pe, 8efault(con,8irector(nde", $anc(nde"ing, 1eaderJame, (nde"(gnore, (nde"ptions,9eadmeJame, etc.+
&imit : autorise les contrZles sur les acc!s des machines *Allow, 8en and rder+
ptions : autorise des contrZles sp#cifiques sur les fonctionnalit#s ptions
Jone : ne permet pas de red#finir les contrZles d'acc!s
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 17/50
© F .
N o l o t
Master 1 STIC-Informatique 17
Configuration du serveur Web Apache
Autres directies
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 18/50
© F .
N o l o t
Master 1 STIC-Informatique 18
&a directive <Files>
ermet de contrZler les acc!s sur un fichier, de la m2me mani!re que le faitE8irectorG sur les r#pertoires
;#n#ralement utilis# sur un ensemble de fichier particulier
Exemple : (nterdit tout client d'acc#der au" fichiers commen[ant par .ht
<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>
5nta"e : E$iles FilenameG...E/$ileG
$ilename peut contenir un nom de fichier mais aussi une cha\ne de caract!reutilisant - pour remplacer un unique caract!re ou M pour remplacer n'importequelle s#quence de caract!res
&'utilisation d'e"pression r#guli!re est possible mais on a)oute alors le caract!re ]comme dans l'e"emple
lus d'info sur les e"pressions r#guli!res utilis#es dans Apache :http://www.perl.com/doc/manual/html/pod/perlre.html *ce sont les m2mes qu'en perl+
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 19/50
© F .
N o l o t
Master 1 STIC-Informatique 19
Configuration du serveur Web Apache
Les co#tr$%es d&accès
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 20/50
© F .
N o l o t
Master 1 STIC-Informatique 20
ContrZle sur les clients
(l est possible d'autoriser ou pas certain acc!s en fonction de l'adresse ( ou de l'adresser#seau du client
Exemple :
Order Allow, Deny
Allow from 192.168.0.0/24, 89.45.47.14
Deny from All
Order : d#termine l'ordre d'applications des r!gles allow et den
$onctionnement g#n#ral :
Order Deny, Allow
&a directive 8en est #valu#e en premier. ar d#faut, les acc!s sont autoris#s.In client est autoris# s'il ne v#rifie pas la directive 8en ou s'il v#rifie une
directive AllowOrder Allow, Deny
&a directive Allow est #valu#e en premier. ar d#faut, les acc!s sont refus#s.In client est refus# s'il ne v#rifie pas la directive Allow ou s'il v#rifie unedirective 8en
8ans l'e"emple : les clients d'adresse r#seau ^7.H.=.=/70 et H^.0B.0_.0 sontautoris#s et tous les autres sont refus#s
Cette directive est autoris#e dans <Directory> et .htaccess si le module modDaccess estcharg#
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 21/50
©
F .
N o l o t
Master 1 STIC-Informatique 21
&es htaccess -
(l est possible de red#finir les r!gles d'acc!s un r#pertoire enpla[ant dans celuiFci un fichier te"te appel# fichier de contrZled'acc!s dont le nom est d#finit par la directive Access$ileJame
Exemple :AccessFileName .htaccess d#finit le nom .htaccesspour le fichier de contrZle d'acc!s.
&es r!gles d'acc!s qu'il est possible de red#finir sont g#r#es par ladirective AllowOverride. our interdire les red#finitions, il suffit demettre AllowOverride none
5i la red#finition des droits est autoris#e, le serveur va v#rifierl'e"istence du fichier de contrZle d'acc!s dans tous les r#pertoiresdu chemin correspondant au" fichiers demand#s
Exemple :AccessFileName .htaccess et si la page demand#eest dans /home/www/doc/inde".html, le serveur va v#rifier ler#pertoire /.htaccess, /home/.htaccess, /home/www/.htaccess,
puis /home/www/doc/.htaccess
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 22/50
©
F .
N o l o t
Master 1 STIC-Informatique 22
Authentification *+
?"emple d'authentification http
Auth6pe Xasic
AuthJame Sassword 9equiredS
AuthIser$ile /www/passwords/password.file
9equire validFuser
ossibilit# de mettre ces lignes soit dans E8irectorG, soit dans unfichier de contrZle d'acc!s *si Allowverride AuthConfig est d#finit+
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 23/50
© F .
N o l o t
Master 1 STIC-Informatique 23
Authentification *7+
&'authentification basic *AuthType Basic) n#cessite la cr#ation d'un fichier de mot depasse
Cr#ation du mot de passe
htpasswd -c /www/passwords/password.file usernameFc quand on cr#e le fichier de mot de passe, sinon on ne met plus cette option
8#finit le fichier de mot de passe utiliser dans la configuration : AuthUserFile/www/passwords/password.file
(l est possible de donner l'acc!s qu' certaines personnes ou toutes personnes avecla directive Require
Require user toto tata tutu
Require valid-user(l est possible de d#finir des groupes de personnes dans un fichier te"te :
$ormat du fichier :
authors: rich daniel allan
AuthGroupFile /www/passwords/groups.file
Require group authors
8ans ce dernier cas, il faut alors avoir un login et mot de passe correcte et
appartenir au bon groupe
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 24/50
© F .
N o l o t
Master 1 STIC-Informatique 24
Authentification *<+
&'authentification basique n'est pas consid#r# comme s#curis# @ &e login et mot depasse transitent r#guli!rement sur le r#seau, chaque requ2te
Autres solutions :
Itilisation de mdB pour envoer le mot de passe
Cr#ation des mots de passe, obligation de donner le nom de l'authentificationqui utilisera ce fichier
htdigest Fc /var/www/digest realm username
?"emple de directive pour utiliser cette m#thode d'authentification
Auth6pe 8igest
AuthJame SrealmSAuth8igest$ile /usr/local/apache/passwd/digest
Auth8igest;roup$ile /usr/local/apache/passwd/digest.groups
9equire group admins
Itilisation de bases de donn#es 8X ou 8X4 : plus d'info surhttp://httpd.apache.org/docs/howto/auth.html
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 25/50
© F .
N o l o t
Master 1 STIC-Informatique 25
Authentification *0+
ossibilit# de faire des combinaisons de l'authentification avec lecontrZle d'acc!s en fonction des (
E8irector /usr/local/apache/htdocs/seritG
Auth6pe Xasic AuthJame intranet
AuthIser$ile /www/passwd/users
Auth;roup$ile /www/passwd/groups
9equire group customers
rder allow,den
Allow from internal.com Satisfy any
E/8irectorG
(l suffit de mettre toutes les directives et d'a)outer la fin ladirective 5atisf
5oit 5atisf an pour signaler que l'un des 7 contrZles est suffisant
5oit 5atisf all pour imposer la validation des 7 contrZles
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 26/50
© F .
N o l o t
Master 1 STIC-Informatique 26
Configuration du serveur Web Apache
Les 'irtua% (ost
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 27/50
© F .
N o l o t
Master 1 STIC-Informatique 27
8#finition
&es 3irtual 1ost permettent de faire correspondre un m2me serveurWeb plusieurs adresses diff#rentes
?"emple : www.mondomaine.com et intranet.mondomaine.com peuvent
2tre h#berg#s sur un m2me machine
7 tpes de 3irtual 1osts
JameFbased 3irtual 1osts
n utilise le nom envo# par le client dans l'I9& pour diff#rencierles serveurs virtuels
(Fbased 3irtual 1osts
on utilise des adresses ( diff#rentes pour chaque domaine
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 28/50
© F .
N o l o t
Master 1 STIC-Informatique 28
(Fbased ou JameFbased -
&imites des nameFbased
Je sont compatibles qu'avec des clients supportant 166/.
n ne peut pas utiliser avec des serveurs 55& de part la nature de 55&Certains sst!mes et r#seau" impl#mentent des optimisations de labande passante qui ne peuvent diff#rencier les clients sans que ce soitdes ( diff#rents
5i l'un de ces < cas risquent d'arriver sur votre r#seau, il estpr#f#rable de faire des virtual host bas# sur les (ps
8ans ce cas, obligation pour le serveur d'avoir plusieurs interfacesr#seau" et donc plusieurs adresses ( ou bien d'utiliser la technique desalias (
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 29/50
© F .
N o l o t
Master 1 STIC-Informatique 29
&es nameFbased virtual host
8#clarer l'adresse ( du serveur avec la directive Jame3irtual1ost
Cr#er un bloc E3irtual1ostG pour chaque hZte que vous voule%servir
8ans un bloc, au minimum, il doit avoir
Ine directive 5erverJame dont le nom d#signe celui que vous voule%servir
Ine directive 8ocument9oot qui d#signe la racine du site que vousserve%
5i vous faites des 3irtual hosts sur un serveur Web e"istant, quisert d#) une adresse, vous deve% faire un bloc E3irtual1ostG dontles directives 5erverJame et 8ocument9oot porteront les m2mesparam!tres que les directives globales
Attention : &a 8J5 doit correctement 2tre configur#e pourretourner la m2me adresse ( plusieurs domaines
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 30/50
© F .
N o l o t
Master 1 STIC-Informatique 30
&es (Fbased virtual host
Le serveur doit avoir des adresses IP différentes pourchaque host virtuel
7 solutions :
In d#mon http par (
A utiliser dans le cas ou l'on veut restreindre les acc!s avec lesdirectives Iser, ;roup, &isten et 5erver9oot
In unique d#mon qui utilise des hosts virtuels
&a configuration se fait de la m2me mani!re que pour les nameF
based virtual host
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 31/50
©
F .
N o l o t
Master 1 STIC-Informatique 31
Configuration du serveur $tp roftpd
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 32/50
©
F .
N o l o t
Master 1 STIC-Informatique 32
Configuration du serveur $tp roftpd
)appe% sur *+P
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 33/50
©
F .
N o l o t
Master 1 STIC-Informatique 33
$6 : (ntroduction
5ervice d#fini au d#part par la 9$C ^B^ *^HB+
Avant l'apparition de 166, protocole de transfert de fichiers le plusutilis#.
5upport# par la plupart des navigateurs Web ainsi que par desclients sp#cialis#s.
5erveur $6 T classique V: wuFftpd *Iniversit# de Washington+
Ce cours se base sur proftpd, beaucoup plus puissant etconfigurable.
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 34/50
©
F .
N o l o t
Master 1 STIC-Informatique 34
$6 : avantages et inconv#nients
Au lieu de $6, on peut aussi utiliser 166 pour transf#rer desfichiers.
Avantages de $6 :
ossibilit# de reprise d'un transfert interrompu.
T Ipload V plus simple configurer.
Connections s#par#es pour T contrZle V et T donn#es V .
...
(nconv#nients;estion d'un service suppl#mentaire sur les serveurs
Certains anciens clients $6 ont des probl!mes avec les T firewall V
9isque suppl#mentaire pour la s#curit#
...
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 35/50
©
F .
N o l o t
Master 1 STIC-Informatique 35
Configuration du serveur $6 roftpd
Pourquoi Pro,tpd ?
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 37/50
©
F .
N o l o t
Master 1 STIC-Informatique 37
Configuration du serveur $6 roftpd
-o#,i.uratio#
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 38/50
©
F .
N o l o t
Master 1 STIC-Informatique 38
Configuration de base
5ur les distributions 8ebian et 9ed1at, lors de l'installation deproftpd
l'installation peut cr#er un r#pertoire ftp anonme */home/ftp+
ar d#faut, chaque utilisateur peut de se logger dans son r#pertoirehome
ar convention, les fichiers publics sont plac#s dans
/home/ftp/pub si l'acc!s anonme est autoris#
Certaines distributions permettent au" utilisateurs anonmes d' T
uploader V des fichiers g#n#ralement dans le r#pertoire/home/ftp/pub/incoming
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 39/50
©
F .
N o l o t
Master 1 STIC-Informatique 39
&a s#curit# sur proftpd
&e serveur cr#e un sousFprocessus par conne"ion, avec un I(8sp#cifi# par le fichier de configuration.
Apr!s avoir cr## et initialis# ce sousFprocessus, le serveur peut
effectuer un T chroot V sur un r#pertoire sp#cifi#.
&es directives T 8irector V et T &imit V peuvent entre autres 2treutilis#es pour limiter l'acc!s des fichiers ou des r#pertoires.
&es informations sur les utilisateurs et les groupes peuvent venirde plusieurs sources : fichiers /etc/passwd et /etc/group *pard#faut+ mais aussi d'autres fichiers de m2me structure ou bien deserveur &8A, de bases de donn#es 5Q&, etc...
&es permissions de ro$68 ne se substituent pas celles dusst!me @
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 40/50
©
F .
N o l o t
Master 1 STIC-Informatique 40
&e fichier de configuration
;#n#ralement, ce fichier est le fichier suivant : /etc/proftpd.conf
Comme celui d'Apache, le fichier de configuration contient desdirectives globales *hors de tout conte"te particulier+, et des
directives l'int#rieur d'un T conte"te V, par e"emple dans un#l#ment E8irectorG
&es directives globales s'appliquent au serveur dans son ensemble,les autres au conte"te dans lequel elles apparaissent
&es principau" conte"tes d#finis sont T 8irector V *r#pertoire+, T&imit V *commandes+, T Anonmous V *acc!s anonme+ et T3irtual1ost V *serveur virtuel+
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 41/50
©
F .
N o l o t
Master 1 STIC-Informatique 41
&istes des utilisateurs et des groupes
&es commandes Allow;roup, AllowIser, 8en;roup et 8enIserpeuvent prendre en param!tre une liste de groupes oud'utilisateurs
Ine telle liste est constitu#e d'une suite de nom d'utilisateurs ou degroupes, s#par#s par des virgules
n peut e"clure e"plicitement un utilisateur ou un groupe enpr#c#dant son nom dans la liste par le caract!re T @ V
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 42/50
©
F .
N o l o t
Master 1 STIC-Informatique 42
8irectives globales
5erverAdmin admin_email_address : d#finit l'adresse eFmail del'administrateur du serveur.
5erverJame name : d#finit le nom du serveur *peut 2tre red#fini par 3irtual
1ost+.5erver6pe type : T tpe V ne peut prendre que deu" valeurs :standalone sile serveur est lanc# au d#marrage du sst!me, et inetd si le serveur estlanc# par inetd.
8efault9oot rpertoire liste_de_!roupes : #tablit le r#pertoire racine pour lesmembres des groupes sp#cifi#s. In utilisateur ne peut pas T remonter V endessus de son r#pertoire racine.
&e caract!re T ] V est remplac# par le r#pertoire T home V de l'utilisateur.
(l a encore beaucoup d'autres directives. Consulte% la liste pour plus ded#tails.
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 43/50
©
F .
N o l o t
Master 1 STIC-Informatique 43
&es conte"tes
E8irector "#emin G...E/8irectorG : pr#cise que les directives incluess'appliquent au r#pertoire de nom T "#emin V *avec e"pansion desm#tacaract!res+
EAnonmous "#emin$ ... E/AnonmousG : : pr#cise que les directivesinclues s'appliquent au r#pertoire de nom T "#emin V, qui sera le r#pertoireracine pour les acc!s anonmes
E&imit "ommande ...G E/&imitG : pr#cise que les restrictions ouautorisations inclues s'appliquent la commande T "ommande V
5i plusieurs conte"tes s'appliquent un fichier donn#, ils s'appliquent par Tpr#cision V d#croissante.
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 44/50
©
F .
N o l o t
Master 1 STIC-Informatique 44
Commandes du conte"te &imit
8ans la directive E&imit "ommande ...G, l'argument commande peut prendre commevaleur soit l'une des commandes d#finies par le protocole ftp, soit un groupe decommandes
&es commandes $6 :
4>8 / Y4>8 *4a>e 8irector+ : cr#er un nouveau r#pertoire
9J$9 *9eJame $9om+, 9J6 *9eJame 6+ : renommer un r#pertoire
8?&? *8?&?te+ ?ffacer un fichier
948 / Y948 *9e4ove 8irector+ 5upprimer un r#pertoire
9?69 *9?69ieve+ 6ransferer un fichier depuis le serveur vers le client
569 *569e+ 6ransf#rer un fichier du client vers le serveur
;roupe de commandes :9?A8 : toute lecture de fichiers l'e"ception de la lecture d'un r#pertoire *9?69,5(6?, 5(`?, 56A6+
W9(6? : toute cr#ation, modification ou effacement de fichiers ou de r#pertoires*A?, 8?&?, 4>8, 948, 9J6, 569, Y4>8, Y948+
8(95 : listage des r#pertoires *C8I, CW8, &(56, 4864, J&56, W8, 9J$9, YCI,YCW8, YW8+
A&& : toutes les op#rations
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 45/50
©
F .
N o l o t
Master 1 STIC-Informatique 45
&a directive E&imit &;(JG
ermet de limiter les acc!s au" serveurs via les commandes Allowfrom et 8en from
Je fonctionne pas e"actement de la m2me mani!re que pour
Apache avec la directive rder5i rder n'est pas sp#cifi#, par d#faut, c'est rder Allow,8en qui estappliqu#
Avec rder Allow, 8en les directives Allow sont #valu#es en premier
5i une directive Allow est v#rifi#s, l'acc#s est accord#
5inon, soit une directive 8en est v#rifi# et l'acc!s est refus# sinonil est accord#
ossibilit# de d#finir un conte"te &;(J globale mais aussi dans lesconte"tes EAnonmousG, E8irectorG et E3irtual1ostG
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 46/50
©
F .
N o l o t
Master 1 STIC-Informatique 46
&es autorisations
Allow from addr_ip ... : comme dans la configuration d'Apache, permetl'acc!s au" adresses ( list#es *qui peuvent 2tre des adresses de r#seau"+
AllowAll : permet tout acc!s
Allow;roup liste_de_!roupes : permet l'acc!s par groupe selon le contenude la liste de groupes
AllowIser liste_utilisateurs : permet l'acc!s par utilisateur selon le contenude la liste d'utilisateurs
Allowverwrite % on & ou % off & : selon que le param!tre soit T on V ou T offV, autorise ou interdit l'#crasement des fichiers e"istants par les utilisateurs
athAllow$ilter expression_r!uli're : re)ette tous les T uploads V dont lenom de fichier ne correspond pas expression_r!uli're .
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 47/50
©
F .
N o l o t
Master 1 STIC-Informatique 47
&es interdictions
8en from addr_ip ... : interdit l'acc!s au" adresses ( list#es *qui peuvent2tre des adresses de r#seau"+
8enAll : interdit tout acc!s
8en;roup liste_de_!roupes : interdit l'acc!s par groupe selon le contenu dela liste de groupes
8enIser liste_utilisateurs : interdit l'acc!s par utilisateur selon le contenude la liste d'utilisateurs
ath8en$ilter expression_r!uli're : re)ette tous les T uploads V dont lenom de fichier correspond expression_r!uli're
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 48/50
©
F .
N o l o t
Master 1 STIC-Informatique 48
&es logs
ar d#faut, ro$68 a)oute des informations dans un fichier de log chaque transfert de fichier.
sous 8ebian, ce fichier est /var/log/"ferlog
sous 4andrae, plusieurs fichiers se trouvent dans /var/log/proftpd/
(l est possible d'obtenir des logs plus d#taill#s en utilisant ladirective ?"tended&og.
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 49/50
©
F .
N o l o t
Master 1 STIC-Informatique 49
&es 3irtual 1osts
ro$68 permet de configurer plusieurs serveurs virtuels par machinephsique
&a directive E3irtual1ost adresse$ .. E/3irtual1ostG d#finit un conte"te de
serveur virtuel. &es directives qu'elle contient ne s'appliqueront qu' ceserveur virtuel
&'adresse sp#cifie l'interface auquel le serveur virtuel va 2tre attach#
8eu" serveurs virtuels peuvent partager la m2me adresse s'ils utilisent desports diff#rents *directive ort numro_de_port +
Itilit#: par e"emple pour des providers qui veulent h#berger les services ftpde plusieurs clients de mani!re ind#pendante sur la m2me machine
8/20/2019 Active dierctory
http://slidepdf.com/reader/full/active-dierctory 50/50
©
F .
N o l o t
Master 1 STIC-Informatique 50
&es modules
ro$6 a une architecture modulaire et peut inclure de nombreusesfonctionnalit#s suppl#mentaires dont par e"emple:
Acc!s un annuaire &8A
5tocage des informations d'authentification dans une base 5Q&*modDsqlpw+
9apport upload/download en nombre de fichier ou en octet *modDratio+
...