Previous: 3 Routage
Up: Nullix 113 (LYX 1.5.4)
Next: 5 Uniformisation des menus
  Contents
  Index
Subsections
- Les rpm à installer sont (au minimum) : apache2, apache2-doc,
perl, php5
- Une arborescence html est destinée à être consultée. Et cette consultation
ne peut avoir lieu sans une intrusion de l'extérieur vers la machine
qui exécute cette arborescence. Il s'agit de garder le contrôle de
cette intrusion... et de ne pas ouvrir plus de portes que nécessaire.
La règle de base est d'interdire en général et de n'autoriser qu'en
particulier.
- Un mécanisme de mascarade (cf le paragraphe correspondant) permet
de monter différents répertoires du système de fichiers à un endroit
ou un autre du site (arborescence web).
- Pour qu'un fichier soit web-accessible, il doit d'abord être unix-accessible
par le serveur. Pour que la chose puisse fonctionner, il faut que
chacun des répertoires emboîtés depuis la racine-fichiers soit exécutable
worldwide (même s'il n'est pas lisible et encore moins inscriptible)
et que chaque fichier utilisé soit lisible worldwide (sans être ni
inscriptible ni exécutable).
- En complément de ces autorisations Unix, il y a les autorisations
Apache. Bien comprendre qu'il y a des autorisations dépendant de l'adresse
réelle (directory) et d'autres de l'adresse de montage (location).
Par ailleurs, il y a une hiérarchie et chaque niveau peut interdire
la modification des contraintes par les niveaux inférieurs.
- Lancement par /etc/init.d/apache2, en direct ou bien sous le
contrôle du mécanisme des runlevels. Le fichier /etc/sysconfig/apache2
est utilisé pour configurer ce lancement (cf Subsection 4.3).
- La configuration statique est déterminée par le fichier /etc/apache2/httpd.conf
et les fichiers appelés par une directive Include (Subsection 4.4).
Le batch qya_docs_apache permet de rassembler tout cela
en un seul document, qui est plus facile à interroger. Quand tout
fonctionne, on n'a plus besoin de rien et, en plus, on peut consulter
http://localhost/server-info.
- Dans la configuration standard, l'utilisateur système est wwwrun:www,
son répertoire de travail est (depuis
) /srv/www
et la racine exportée est /srv/www/htdocs. Auparavant, le répertoire
/usr/local/httpd était utilisé.
- Depuis la
il faut fournir la page d'accueil racine. Dans
tous les cas, cette page est cruciale pour le référencement du site.
4.3 Le batch de lancement
- Le batch de lancement est /etc/init.d/apache2. Ce batch tire
ses informations du fichier /etc/sysconfig/apache2 (
)
qui a été /etc/sysconfig/httpd (
) après avoir été
en répartis entre /etc/rc.config et /etc/rc.config.d/apache.rc.config
(
).
- L'idée sous-jacente est que les drapeaux sont plutôt sous le contrôle
du webmaster, et la config plutôt sous le contrôle de YaST. Le résultat
est plutôt d'embrouiller les choses. Être attentif à l'environnement
existant lors du lancement du serveur. Il n'est pas indifférent d'être
root ou seulement su root (en particulier le PATH n'est pas le même).
- Sous
, le batch de lancement commence par positionner
à sa façon les variables pname, apache_link, logdir, pidfile,
sysconfdir, sysconfig_apache.
- Les commandes de marche-arrêt sont :
- start
- start httpd
- startssl
- start httpd with -DSSL
- stop
- stop httpd by a SIGTERM
- try-restart
- stop httpd then, if it was running before, start
it again.
- restart
- stop httpd if running then, in any case, start httpd
- reload
- start if not running or do a graceful restart by sending
a SIGUSR1
- Les commandes de contrôle sont :
- status
- check whether httpd is running
- [full-]server-status
- dump a [full-]status screen; requires
lynx or w3m and mod_status enabled
- probe
- probe for the necessity of a reload, give out the argument
which is required for a reload. (by comparing conf files with pidfile
timestamp)
- configtest
- do a configuration syntax test
- extreme-configtest
- try to run httpd as nobody (detects more errors
by actually loading the configuration, but cannot read SSL certificates)
- Le batch commence par interpréter la configuration actuelle, et stocke
ce qu'il en a vu dans le répertoire /etc/apache2/sysconfig.d
(globals, includes, modules).
- Puis les drapeaux APACHE_SERVER_FLAGS sont convertis en variables
d'aiguillages qui seront transmises au programme principal (contrôle
des fichiers de configuration à l'aide de tests IfDefined).
- Modifier les points suivants de /etc/sysconfig/apache2 :
- APACHE_ACCESS_LOG : le nom de fichier est *.log et non *_log
- APACHE_MODULES : ajouter status info
- APACHE_EXTENDED_STATUS= on
- APACHE_SERVER_FLAGS : ajouter STATUS.
4.4 Fichiers de configuration
- Le fichier principal est /etc/apache2/httpd.conf (
)
après avoir été /etc/httpd/httpd.conf. Les autres fichiers
sont appelés par des directives Include.
- Les fichiers du répertoire /etc/apache2/extra ne sont pas utilisés.
- Placer les fichiers *.conf additionnels en : /etc/apache2/conf.d/
- httpd.conf
- error.log (et non error_log)
- info.conf, status.conf
- Allow from localhost, ::1 (à cause d'une
modification de /etc/hosts, elle même dûe à un bricolage lié
à Maple/Mathematica)
Ne pas oublier de déclarer le module dans /etc/sysconfig/apache2
- server-tuning.conf
- Par défaut (
) StartServers 5,
MinSpareServers 5, MaxSpareServers 10, ServerLimit 150, MaxClients
150, MaxRequestsPerChild 10000
Actuellement utilisé : start=50, min=10, spare=20
Sous
il suffisait d'indiquer le type de serveur (slim/mid/thick/enterprise)
dans /etc/sysconfig/apache
- mod_log_config.conf
- Ajouter une ligne ref_common pour pouvoir
enregistrer le Referrer sans le User-agent. Modifier sysconfig.
LogFormat "%h %l %u %t \"%r\"
%>s %b \ \"%{Referer}i\"
%l" ref_common
- [%h] IP address of the client. If HostnameLookups=On,
the server will try to determine the hostname and log it in place
of the IP address.
- [%l] An hyphen, unless IdentityCheck=On. RFC 1413 identity
of the client determined by identd on the clients machine.
- [%u] userid of the person requesting the document as determined
by HTTP authentication.
- [%t] time formatted as [dd/mmm/yyyy:hh:mm:ss zone]. Another
format can be specified by %{format}
- [\"%r\"] : the
request line (in double quotes). Can be splitted as "%m
%U%q %H" into method, path, query-string, and protocol.
- [%>s] returned status code
- [%b] length of the object returned to the client, not including
the response headers.
- [given-header] %{header}i
- [\"%{Referer}i\"] :
the "Referer" (sic) HTTP request header.
- [\"%{User-agent}i\"] :
the User-agent request header
- mod_userdir.conf
- Fichier capital...
- mod_php5.conf
- Examiner l'intérêt de distinguer php, php4, php5
- htdig.conf
- A écrire conformément aux directives de Subsection 4.11
- manual.conf
- Renommer en manual.conf-kill et remplacer par un
fichier vide
- localdocs.conf
- A écrire conformément aux directives de Subsection 4.6.4
.Apache (2007)
- Mécanisme hiérarchique (avec héritage)
- AllowOverride
None, All, or any combination of Options, FileInfo,
AuthConfig, and Limit.
They control which options the .htaccess files in directories
can override.
- Options
None, All, or any combination of Indexes,
Includes, IncludesNoExec, FollowSymLinks,
SymLinksIfOwnerMatch ExecCGI or MultiViews
Note that MultiViews must be named explicitly
: Options All doesn't give it to you.
- Allow, Deny :
- Order allow, deny
Allow from all
- Order deny, allow
Deny from all
Allow from localhost xxx.xxx.xxx.xxx
They control who can get stuff from this server.
Le symbole ¶ indique un passage à la ligne.
- Racine du système de fichiers LOCAL ()
-
- <Directory />
Options None
AllowOverride None
Order deny, allow
Deny from all
</Directory>
- La config était
-
- <Directory />
AuthUserFile /etc/httpd/passwd
Options -FollowSymLinks
AllowOverride None
</Directory>
- Racine EXPORTÉE par le serveur
-
- DocumentRoot "/srv/www/htdocs"
<Directory "/srv/www/htdocs">
Options None
AllowOverride None
Order allow,deny
Allow from all
</Directory>
En particulier, il faut que le fichier de base du serveur s'appelle
explicitement index.html, puisque les liens symboliques ne sont pas
autorisés.
- La config était
-
- Options Indexes -FollowSymLinks +Includes MultiViews
AllowOverride None
Order allow,deny
Allow from all
<IfDefine DAV> DAV On </IfDefine>
- Protection des fichiers .htaccess
-
- AccessFileName .htaccess
<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>
- Répertoire principal des serveurs personnels
-
- UserDir public_html
<Directory /home/*/public_html>
AllowOverride FileInfo AuthConfig Limit Indexes
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
<Limit GET POST OPTIONS PROPFIND>
Order allow,deny
Allow from all
</Limit>
<LimitExcept GET POST OPTIONS PROPFIND>
Order deny,allow
Deny from all
</LimitExcept>
</Directory>
Indexes n'était pas spécifié pour
.
- icônes
-
- Alias /icons/ /usr/share/apache2/icons/
<Directory "/usr/share/apache2/icons">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>
Etait /usr/local/httpd/icons/ pour
.
4.6.4 Documentation
- Créer un fichier /etc/apache2/conf.d/localdocs.conf. Les Alias
des sous répertoires doivent venir avant ceux des répertoires. Tout
cela restreint à localhost.
- Vérifier la syntaxe avant chargement.
- Créer un fichier racine, servant de menu.
- Ne pas oublier de placer des fichiers index.html aux bons endroits
(redirection ou bien envoi sur un fichier d'accueil).
- Recompiler le manuel apache. Ne conserver que la version us (les autres
ne sont probablement pas à jour) et placer tout cela en docs/apache.
- Les alias :
-
- Alias /docs/howto "/usr/share/doc/howto/en/html"
Alias /docs/opensuse "/usr/share/doc/manual/opensuse-manual_en/manual"
Alias /docs/htdig "/usr/share/doc/packages/htdig/htdoc"
Alias /docs/gimp "/opt/gnome/share/gimp/2.0/help/"
Alias /docs "/srv/www/docs"
- Ancienne gestion des fichiers de documentation (
et précédentes)
-
- /docs/ /usr/share/doc/
/susehelp/ /usr/share/susehelp/docserver/
/var/lib/susehelp/pac /var/lib/susehelp/pac
/usr/share/susehelp/img/ /usr/share/susehelp/img/
Alias /hilfe/ /usr/doc/susehilf/
Alias /sdb/ /usr/doc/sdb/
4.7 Réglage des exécutables cgi, pl, php
- Les règles de sécurité imposent de confiner ce genre de fichiers dans
des répertoires "sécurisés".
- Pour
, /etc/apache2/httpd.confcontient :
-
- Include /etc/apache2/default-server.conf
- /etc/apache2/default-server.conf contient :
(les deux premières lignes sont un patch d'une erreur de compilation
de htdig)
-
- Alias /cgi-bin/images/star.gif /srv/www/gif/star.gif
Alias /cgi-bin/images/star_blank.gif /srv/www/gif/star_blank.gif
ScriptAlias /cgi-bin/ "/srv/www/cgi-bin/"
<Directory "/srv/www/cgi-bin">
AllowOverride None
Options +ExecCGI -Includes
Order allow,deny
Allow from all
</Directory>
Et alors les cgi-bin fonctionnent dans le répertoire cgi-bin (global)
- /etc/apache2/mod_perl-startup.pl contient :
-
- if ( ! $ENV{MOD_PERL}) { die "GATEWAY_INTERFACE not Perl!"; }
use lib qw(/srv/www/perl-lib);
use ModPerl::Util (); #for CORE::GLOBAL::exit
use Apache2::RequestRec ();
use Apache2::RequestIO ();
use Apache2::RequestUtil ();
use Apache2::ServerRec ();
use Apache2::ServerUtil ();
use Apache2::Connection ();
use Apache2::Log ();
use APR::Table ();
use ModPerl::Registry ();
use Apache2::Const -compile => ':common';
use APR::Const -compile => ':common';
1;
Et alors les cgi-bin fonctionnent dans le répertoire cgi-bin (global)
- /etc/apache2/conf.d/php5.conf contient :
-
- <IfModule mod_php5.c>
AddHandler application/x-httpd-php .php
AddHandler application/x-httpd-php-source .phps
DirectoryIndex index.php
</IfModule>
(chaque ligne en triple : php, php4, php5)
Et alors les php fonctionnent partout. Placer php_test.php dans un
répertoire sous password, de façon à ne pas révéler l'état intérieur
du serveur.
- version précédente (
) :
-
- Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/
ScriptAlias /cgi-bin/ /usr/local/httpd/cgi-bin/
<Directory "/usr/local/httpd/cgi-bin">
Options None
AllowOverride None
Allow from all
</Directory>
<Directory /usr/lib/sdb/cgi-bin>
Options +ExecCGI -Includes
AllowOverride None
SetHandler cgi-script
</Directory>
- AddHandler : allows you to map certain file extensions to "handlers",
actions unrelated to filetype. These can be either built into the
server or added with the Action command
To use server side includes outside ScriptAliased directories:
To use CGI scripts outside ScriptAliased directories : "AddHandler
cgi-script .cgi".
Exemples anciens :
-
- <Location /cgi-bin>
AddHandler perl-script .pl
PerlHandler Apache::Registry
PerlSendHeader On
Options +ExecCGI
</Location>
AddType text/html .shtml
AddHandler server-parsed .shtml
AddHandler cgi-script .cgi
- Exécutables php
-
- AddType application/x-httpd-php4 .php
AddType application/x-httpd-php4 .php4
AddType application/x-httpd-php3-source .phps
- Le fichier /etc/apache2/mod_userdir.conf contient (avant
la déclaration générale de userdir) :
-
- ScriptAlias "/~ipse/cgi-bin/" "/home/ipse/public_html/tests/"
<Directory /home/ipse/public_html/tests>
AllowOverride FileInfo AuthConfig Limit Indexes Options
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
<Limit GET POST OPTIONS PROPFIND>
Order allow,deny
Allow from all
</Limit>
<LimitExcept GET POST OPTIONS PROPFIND>
Order deny,allow
Deny from all
</LimitExcept>
</Directory>
- Et alors le répertoire /~ipse/cgi-bin/ se comporte
activement, tandis que /~ipse/tests/ se comporte comme
un répertoire banal (demande comment lire tout cela)
Remarque : aucun fichier .htaccess n'est présent.
- La doc php se trouve en http://localhost/docs/packages/phpdoc/manual/
- (Remarque
) : le répertoire /srv/www/htdocs/phpMyAdmin
doit être sécurisé.
Regarder le répertoire /usr/share/apache2/error/
- plain text
-
- ErrorDocument 500 "The server made a boo boo.
# n.b. the (") marks it as text, it does not get output
- local redirects
-
- ErrorDocument 404 /missing.html
# to redirect to local URL /missing.html
ErrorDocument 405 /cgi-bin/missing_handler.pl
# redirecting to a script or a ssi-doc
- external redirects
-
- ErrorDocument 402
http://some.other_server.com/subscription_info.html
# N.B.: Many of the environment variables associated with
the original request will *not* be available to such a script.
4.9 Webalizer
Les logs sont pollués par des coucous qui cherchent à se faire référencer,
et il est difficile d'exploiter les fichiers obtenus : il faut utiliser
des batches complémentaires pour filtrer le travail de webalizer.
- Ce programme exploite les fichiers /var/log/httpd/access.log...
qui doivent donc exister et être maintenus à une taille raisonnable
(cf Section 1.4).
- Il est particulièrement intéressant d'avoir trace des Referrers, c'est
à dire des liens qui ont amené à entrer dans le site. Il est donc
nécessaire de configurer /etc/httpd/httpd.conf pour en garder
trace :
CustomLog /var/log/httpd/access.log combined
- Drapeaux à positionner dans le fichier webalizer.conf
- Incremental
- yes
- DNSChildren
- 30 (permet d'accélérer le traitement)
- AllReferrers
- yes (page spéciale avec tous les Referrers du mois)
- GroupReferrer
- www.google google
- IgnoreURL
- /cgi-bin/Count.cgi
- Le batch de lancement doit sélectionner les fichiers à prendre en
compte :
newer=$site/index.html
for qui in `find $logdir/access.log* -newer $newer` ;
do ...
- Prétraiter les fichiers logs de façon à attribuer à Google les urls
216.239.xx.xx
s¶http://216.239\.[0-9]*\.[0-9]*/search¶http://www.google.xx.xx/search¶g
- Un post-traitement du fichier de statistiques permet de le mettre
au look général du site (couleurs, boutons, etc).
- La version installée en 2001 se laisse recopier d'une machine à l'autre.
Il suffit de copier /srv/www/cgi-bin/Count.cgi d'une part et
/srv/www/Counter/ d'autre part (le sous répertoire datas doit
appartenir à wwwrun). Par contre, une simple copie ne suffit pas lorsque
les répertoires standard ont changé de place.
- En tout état de cause, les sources wwwcount2.5.tar.gz. sont
toujours (
) disponibles sur le site http://www.muquit.com/muquit/software/Count/Count.html.
Il n'est pas nécessaire d'imprimer la documentation depuis le site,
car elle est incluse dans le fichier archive. Nous choisissons de
placer cette archive dans /opt/cgi_scr/. Décompacter par gunzip
* puis tar -extract -file=wwwcount2.5.tar.
- Se placer dans le répertoire /opt/cgi_scr/wwwcount2.5 qui vient d'être
créé. Suivre la doc, c'est à dire lancer successivement make
config.h, make all, make cfg, et enfin make
install. La configuration consiste en particulier à choisir les répertoires.
- Le premier batch : make config.h donne à choisir certaines options.
Nous retenons :
CgiBinDir=/srv/www/cgi-bin
BaseDir= /srv/www/Counter
ConfDir= /srv/www/Counter/conf
ConfFile=count.cfg
DataDir=/srv/www/Counter/data
DigitDir=/srv/www/Counter/digits
LogDir=/var/log/counter
LogFile=Count2_5.log
- Puis make all. Cela crée diverses choses, attribuées à user 500/ group
500.
- Puis make cfg. Cela crée un fichier count.cfg. Automatic files création
=y, strict mode =n. Laisser l'affichage des messages d'erreur dans
la phase de tests, puis la supprimer (pour ne pas publier les répertoires
effectifs).
- La page de tests issue de testcount-sh peut être reprise pour en faire
une page active. La nouvelle version figure dans les pages de test
du site.
- Configuration : le répertoire ~Counter/data doit appartenir
à l'utilisateur wwwrun. Les images à incruster doivent être placées
dans les répertoires ~Counter/digits/xx. Et bien entendu
: recopier les valeurs des compteurs qui sont dans DataDir
- Utilisation effective : décrire le compteur comme un bouton de la
barre de titre.
4.11 Moteur de recherche htdig
Incomplet.
- Fichier /etc/apache2/conf.d/htdig.conf :
.Alias /htdig "/srv/www/htdig"
<Directory "/srv/www/htdig">
AllowOverride None
Order allow,deny
Allow from all
</Directory>
- Une erreur de compilation nécessite de masquerader les icônes utilisées
pour afficher les scores. /etc/apache2/default-server.conf
contient :
-
- Alias /cgi-bin/images/star.gif /srv/www/gif/star.gif
Alias /cgi-bin/images/star_blank.gif /srv/www/gif/star_blank.gif
- Le répertoire confdir décrit dans htdig (
) a bougé
de /srv/www/htdig/conf/ vers /etc/htdig/. Utiliser le
même mécanisme de liaison.
- La documentation est toujours à l'adresse /usr/share/doc/packages/htdig.
Tout le reste à changé de place (ancienne localisation : /opt/www/htdig).
- bindir
- /usr/bin : exécutables destinés aux créateurs des
pages web. En particulier htdig, htmerge. Anciennement /opt/www/htdig/bin .
- confdir
- Ce répertoire des fichiers de configuration est fixé
à la compilation du fichier /cgi-bin/htsearch. Mais il est
raisonnable que les utilisateurs puissent les modifier. Compromis
: placer ces fichiers dans /qublic_bin/htdig/conf/ et les
lier vers $confdir. Actuellement /srv/www/htdig/conf/.
- commondir
- Contient les fichiers utiles pour la fabrication au
vol des pages de recherche. En particulier header, footer, long, short.
- /htdig/
- Contient les images utilisées pour les pages de recherche.
Ce répertoire doit être déclaré par un alias dans httpd.conf. En principe
/srv/www/htdig/images/.
- dbdir
- bases de données. Les placer dans un répertoire où l'utilisateur
peut écrire !
- Exemple de commande : htdig -isv -c $1 ; htmerge -sv -c $1
- La syntaxe est devenue plus stricte. L'affectation d'une variable
se fait par "nom de variable", pas d'espace, deux
points, espace, "valeur de la variable".
- Le nombre d'items par page est "matchesperpage"
et pas "matches_per_page".
- ??? décrire le mécanisme d'utilisation (questionnaire)
- Tout le barnum htdig se retrouve en /opt/www/htdig. Ce n'est
pas génial, car cela mélange des fichiers de configuration, des exécutables
destinés aux créateurs des pages web, des bases de données et des
exécutables au vol (cgi-bin).
- Créer des liens sur les exécutables depuis /opt/www/htdig/bin
vers /usr/bin (de façon à les rendre accessibles sans surcharger
le path).
- Les fichiers de configuration servent à la fois à la création et à
l'exploitation. Ils doivent se trouver dans le répertoire /opt/www/htdig/conf/htdig.conf
(fixé une fois pour toutes à la compilation de /cgi-bin/htsearch).
Mais il est raisonnable que les utilisateurs puissent les modifier.
Compromis : placer ces fichiers dans ~/qublic_bin/htdig/conf/
et les lier vers /opt/www/htdig/conf/
- Créer des fichiers de configuration. En particulier déclarer un "nom
de base". Exclure les fichiers *.css et *.mws
- htdig -isv -c /opt/www/htdig/conf/nullix.conf
4.12 Exploitation de httpd/error.log
- Gestion des fichiers error.log.bz2 : root recopie ces fichiers et
les attribue à logger
- Déziper tout cela. Faire attention : cela peut être volumineux...
- Il reste ensuite à ventiler les différents messages par sortes. Le
batch httpdian (user logger) fait cela. Au passage standardisation
des adresses ip (trois chiffres par blocs) et réduction des redondances.
- err_autres
- Résidu de traitement des erreurs.
- err_cgi-bin
- Liste datée des problèmes de script. En gros : manquants
ou placés dans un répertoire non exécutable. Il n'y a pas mention
de la page appelante.
- err_conf_deny
- Liste datée des refus d'accès causés par la configuration
du serveur.
Concerne par exemple les fichiers /usr/share/doc/
- err_counter
- Liste triée des fichiers manquants (non autorisés)
pour le compteur
/usr/local/httpd/Counter/digits/A/{button_count.gif, button_count2.gif}
- err_DB2
- Messages non datés, issus de la compilation htdig.
missing files like .../htdig/common/{synonyms.db, word2root.db}.
- err_file_deny
- Liste datée des refus d'accès causés par la configuration
unix des fichiers (en particulier fichiers qui ne sont pas world-readable).
- err_link
- Utilisation de liens dans un répertoire non autorisé.
Remplacer cela par des pages de redirection tant que l'on reste dans
la partie exportée de l'arborescence.
<meta http-equiv="refresh" content="1;url=http:xxx">
- err_missing
- Liste datée des pages manquantes. En principe, les
mauvais liens sont repérés lors de l'indexation, et donc les pages
manquantes sont liées à une exploration volontaire du site par des
personnes extérieures...
- err_ssl
- "Child could not open SSLMutex lockfile /var/run/ssl_mutex.989
(System error follows) : No such file or directory (errno: 2)... 200Mo
de logs en quelques heures.
- err_variant
- no acceptable variant: (= c'est quoi ??? )
/usr/local/httpd/htdocs/index.html
/opt/www/htdocs
- err_virus
- voir paragraphe "attaque contre système32".
- list_cgi-bin
- Liste triée des scripts manquants
/usr/local/httpd/cgi-bin/{Count.cgi, cgi_test.cgi, perl_test.pl,
visitor.exe}
- list_file_deny
- Liste triée des pages dont l'accès est unix-interdit.
- list_missing
- Liste triée des pages manquantes, extraite de err_missing.
- msg_notice
- Messages datés signalement le lancement ou l'arrêt
de httpd.
- Lors d'un enchaînement (ring), après le dernier et avant le premier
doivent être prévus. Exemple : ~/2001/Cours2001/cours01,
ou les ansecpb.
- Au passage : le grand blanc au début des fichiers cours, et autres
(les macros a_tex ???)
- Il faudrait un avertissement dans tous les fichiers codés avec T2H
concernant la façon de configurer le navigateur.
- Les fichiers webweb/gif manquaient. Un certain nombre d'icônes sont
maintenant disponibles dans ~/gifs/. Créé le batch
bin/Gif qui permet de créer une page avec ces icônes. Placer cette
page dans ~/webweb et aussi dans ~/gifs/
pour garder le contrôle du répertoire.
- Les étoiles de htdig.
- Les fichiers dans les répertoires personnels : créer un fichier .htaccess
(au plus près des fichiers manquants), contenant
## both addresses MUST be full-qualified
Redirect 301 /~douillet/toto-old http://www.douillet.info/~douillet/toto-new
Bien entendu, tout cela est sous le contrôle de /etc/apache2/extra/httpd-userdir.conf.
- Pour les fichiers dans le répertoire serveur : le même mécanisme présuppose
l'ouverture des droits adéquats (la racine est mieux protégée que
les individus). Cela se trouve dans /etc/apache2/default-server.conf.
Constaté la présence de paquets d'environ une dizaine de requêtes
venant de 140 sites, constituant 40 commandes en tout (taux de coïncidence
extraordinaire).
Le principe est la recherche d'une adresse commençant par
MSADC/ PBServer/ Rpc/ _mem_bin/ _vti_bin/ _vti_cnf/
adsamples/ c/ d/ iisadmpwd/ msadc/
samples/ scripts/
et se continuant par un nombre variable de ..\
pour se terminer par winnt/system32/cmd.exe.
Un certain nombre de \ sont masqués en %2f. L'objectif
semble être un trou de sécurité dans un serveur, permettant d'accéder
au système d'exploitation. Une exploration concernant les sites émetteurs
est en cours. Il semble s'agir de sites ayant beaucoup de scripts
java... et qui peuvent donc être eux-mêmes infectés.
Previous: 3 Routage
Up: Nullix 113 (LYX 1.5.4)
Next: 5 Uniformisation des menus
  Contents
  Index
douillet@ensait.fr
2010-03-01