Linux WWW-HOWTO: Apache
7. Apache
La version actuelle d'Apache est la 1.2.4. La version 1.3 est en test. Le
site principal d'Apache est à
http://www.apache.org/. Une autre
bonne source d'information est Apacheweek à
http://www.apacheweek.com/. La documentation d'Apache est bonne, je
ne rentrerai donc pas dans les détails de la configuration d'apache. La
documentaion est sur le site web et également incluse dans les sources (au
format HTML). Il y a également des fichiers textes inclus dans les sources,
mais la version HTML est meilleure. La documentation doit devenir bien
meilleure depuis que le Apache Documentation Project a été lancé. Pour
l'instant la plupart des documents sont écrits par les développeurs. Sans
vouloir discréditer les développeurs, ils sont un peu difficiles à
comprendre si vous ne connaissez pas la terminologie.
7.1 Où l'obtenir ?
Apache est inclus dans les distributions Red Hat, Slackware, et OpenLinux.
Cependant il se peut que ce ne soit pas la dernière version, ce sont des
binaires très fiables. La mauvaise nouvelle est que vous aurez à vivre avec
leurs choix de répertoires (qui sont totalement différents les uns des
autres et de ceux par défaut d'Apache).
Le source est disponible sur le site web d'Apache à
http://www.apache.org/dist/.
Les binaires sont également disponibles au même endroit.
Vous pouvez aussi obtenir les binaires de sunsite à
ftp://sunsite.unc.edu/pub/Linux/apps/www/servers/ et pour la France
sur
ftp://ftp.lip6.fr/pub/linux/sunsite/apps/www/servers/.
Et pour ceux d'entre vous qui utilisent une Red Hat le dernier fichier RPM
se trouve généralement dans le répertoire des contributions à
ftp://ftp.redhat.com/pub/contrib/i386/.
Si votre serveur doit desservir un dessein commercial, il est hautement
recommandé que vous obteniez les sources à partir du site web d'Apache et de
le compiler vous même. L'autre option est d'utiliser un binaire qui provient
d'une distribution majeure, par exemple Slackware, Red Hat, ou OpenLinux. La
principale raison en est la sécurité. Un binaire inconnu peut avoir une
"sortie cachée" pour les hackers, ou une correction instable peut crasher
votre système. Ceci vous donnera également plus de contrôle sur les modules
compilés, et vous autorisera à changer les répertoires par défaut. Il n'est
pas difficile de compiler Apache, et vous ne serez pas un réel utilisateur
de Linux tant que vous ne compilerez pas vos programmes ;)
7.2 Compiler et Installer
Tout d'abord décompactez l'archive dans un répertoire temporaire. Ensuite
placez vous dans le répertoire src. Editez alors le fichier Configuration si
vous désirez ajouter des modules spéciaux. Les modules les plus communément
utilisés sont déjà inclus. Il n'y a pas besoin de changer les règles ou le
makefile pour Linux. Lancez ensuite le script shell Configure
(./Configure ). Vérifiez qu'il vous dit que vous utilisez une
plateforme Linux et gcc en tant que compilateur.
Ensuite vous pouvez éditer le fichier httpd.h pour changer les répertoires
par défaut.
L'emplacement du serveur (où sont conservés les fichiers de configuration)
par défaut est /usr/local/etc/httpd/ , mais vous pouvez le changer
pour juste /etc/httpd/ . Et le répertoire principal du serveur (où
sont conservées les pages HTML) par défaut est
/usr/local/etc/httpd/htdocs/ , mais j'apprécie le répertoire
/home/httpd/html (le défaut de Red Hat pour Apache). Si vous devez
utiliser su-exec (voir les options spéciales plus bas) vous pouvez également
désirer changer le répertoire. Le répertoire principal peut également être
changé à partir des fichiers de config. Mais il est également bon de le
compiler, juste au cas où Apache ne puisse trouvez ou lire les fichiers de
configuration. Tout le reste doit être changé à partir des fichiers de
configuration.
Lancez enfin make pour compiler Apache.
Si vous avez des problèmes au sujet de fichiers include manquants, vérifiez
les points suivants. Vérifiez que vous avez les entêtes du noyau (fichiers
include) installés pour votre version du noyau. Vérifiez également que vous
avez ces liens symboliques installés:
Les liens peuvent être créés avec ln -s , celà fonctionnera comme la
commande cp à part qu'il fera un lien ((ln -s SOURCE DESTINATION ).
Lorsque make a terminé il doit y avoir un exécutable nommé httpd dans le
répertoire. Il est nécessaire de le déplacer dans un répertoire bin.
/usr/sbin ou /usr/local/sbin seraient de bons choix.
Copiez les sous-répertoires conf, logs, et icons des sources vers
l'emplacement du serveur. Renommez ensuite trois des fichiers du
sous-répertoire conf pour vous débarasser de l'extension -dist
((ex. httpd.conf-dist devient httpd.conf ).
Il y a aussi divers programmes de support qui sont inclus avec Apache. Ils
sont dans le répertoire support et doivent être compilés et installés
séparément/
La plupart d'entre eux peuvent être créés en utilisant le makefile de leur
répertoire (ce qui est fait lorsque vous lancez le script principal
Configure ). Vous n'avez besoin d'aucun d'entre eux pour utiliser
Apache, mais certains rendent le travail des administrateurs plus simple.
7.3 Configurer
Maintenant vous devez avoir quatre fichiers dans votre sous-répertoire
conf de l'emplacement du serveur. Le fichier httpd.conf met en
place le daemon du serveur (numéro de port, utilisateur, etc). Le
srm.conf donne l'arborescence pour les documents principaux, les
actions spéciales, etc. Le access.conf donne les cas basiques pour
l'accès. Finalement, le mime.types dit au serveur que type mime il doit
envoyer au navigateur pour quelle extension.
Les fichiers de configuration sont assez bien documentés (ils sont pleins de
commentaires), tant que vous comprenez le langage. Vous devriez les lire
attentivement avant de mettre votre serveur en marche. Chaque option de
configuration est couvert dans la documentation Apache.
Le fichier mime.types n'est pas réellement un fichier de configuration.
Il est utilisé par le serveur pour traduire les extensions des fichiers en
types mime à envoyer au navigateur. La plupart des types mime communs sont
déjà dans le fichier. La majorité des gens ne devrait pas éditer ce fichier.
Au cours du temps, plus de types mime seront ajoutés pour supporter de
nouveaux programmes. La meilleure chose à faire est de prendre un nouveau
fichier mime.types (et peut-être une nouvelle version du serveur) à ce
moment là.
Souvenez vous toujours que lorsque vous changez les fichiers de
configuration vous devrez relancer Apache ou lui envoyer le signal SIGHUP
avec kill pour que les changements prennent effet. Vérifiez que vous
envoyez le signal au process parent et non aux process enfants. Le parent a
généralement le chiffre id le plus faible. L'id du process du parent est
également dans le fichier httpd.pid du répertoire log. Si vous envoyez
accidentellement le signal à un des process enfants, le process stoppera et
le parent le relancera.
Je ne vous conduirai pas le long des chemins de la configuration d'Apache.
A la place je parlerai des problèmes spécifiques, des choix à faire, et des
options spéciales.
Je recommande chaudement que tous les utilisateurs lisent les trucs sur la
sécurité dans la documentation Apache. Elle est également disponible sur le
site web d'Apache à
http://www.apache.org/docs/mics/security_tips.shtml.
7.4 Héberger des serveurs web virtuels
L'hébergement virtuel existe lorsqu'un seul ordinateur dispose de plus d'un
nom de domaine. L'ancienne méthode était d'avoir une adresse IP pour chaque
site virtuel. La nouvelle méthode utilise uniquement une adresse IP, mais
celà ne fonctionne pas correctement avec les navigateurs qui ne supportent
pas le HTTP 1.1.
Ma recommandation pour le commerce est de conserver un hébergement virtuel
basé sur plusieurs IP jusqu'à ce que la majorité des gens disposent de
navigateurs supportant HTTP 1.1 (donnez leur un an ou deux). Ceci vous donne
également une illusion plus complète de l'hébergement virtuel. Alors que les
deux méthodes peuvent vous donner des possibilités de courrier virtuel (est
ce que quelqu'un peut confirmer?), seul l'hébergement virtuel basé IP peut
également vous donner un serveur FTP virtuel.
S'il s'agit d'un club ou d'une page personnelle, vous pouvez considérer
l'hébergement virtuel par IP liée.
Ce devrait être moins cher que l'hébergement basé IP et vous sauverez de
précieuses addresses IP.
Vous pouvez également mélanger les hébergements virtuels par IP fixes et par
IP partagées sur le même serveur. Pour plus d'information sur l'hébergement
virtuel voyez Apacheweek sur
http://www.apacheweek.com/features/vhost.
Hébergement virtuel basé IP
Pour cette méthode chaque site virtuel dispose de sa propre adresse IP. En
déterminant l'adresse IP à laquelle la requête était envoyée, Apache et
d'autres programmes peuvent dire quel domaine desservir. C'est un incroyable
gain d'adresses IP. Prenez par exemple les serveurs où est conservé mon
domaine virtuel. Ils ont plus de 35.000 comptes virtuels, ce qui signifie
35.000 adresses IP. Pourtant je crois qu'aux derniers comptes ils avaient
moins de 50 serveurs réels.
La configuration se fait en deux parties. La première consiste à obtenir de
Linux l'acceptation de plus d'une adresse IP. La seconde est de configurer
apache pour servir les sites virtuels.
La première étape dans la configuration pour l'acceptation par Linux de
multiples adresses IP est de créer un nouveau noyau. Ceci fonctionne mieux
avec la série des noyaux 2.0 (ou supérieure). Vous devrez inclure le support
pour "IP networking" et "IP aliasing". Si vous avez besoin d'aide pour la
compilation du noyau voyez le
kernel howto, ou sa version
française sur
http://www.freenix.org/unix/linux/HOWTO/Kernel-HOWTO.shtml.
Vous devrez ensuite configurer chaque interface au lancement. Si vous
utilisez la distribution Red Hat akirs ceci peut être fait à partir du
panneau de contrôle. Lancez X-Window en tant que super-utilisateur, vous
devriez voir un panneau de contrôle. Double-cliquez sur "network
configuration" (configuration réseau). Allez ensuite sur le panneau des
interfaces et choisissez votre carte réseau. Ensuite cliquez sur alias en
bas de l'écran. Rentrez les informations et cliquez sur "done". Ceci devra
être fait pour chaque site virtuel / adresse IP.
Si vous utilisez une autre distribution vous pouvez avoir à le faire
manuellement. Vous pouvez simplement mettre les commandes dans le fichier
rc.local de /etc/rc.d (en réalité vous devriez les mettre avec
toutes celles concernant le réseau). Vous devrez avoir une commande
ifconfig et route pour chaque périphérique. Les adresses en alias
sont divisées sous le périphérique principal. Par exemple eth0 aurait les
alias eth0:0, eth0:1, eth0:2, etc. Voici un exemple de configuration d'un
alias:
Vous pouvez également ajouter une adresse de broadcast et un netmask à la
commande ifconfig. Si vous avez beaucoup d'alias vous pouvez vouloir faire
une boucle pour le rendre plus simple. Pour plus d'informations voyez le
IP alias mini howto ou sa version
française à
http://www.freenix.org/unix/linux/HOWTO/mini/IP-Alias.shtml.
Vous devrez ensuite configurer votre domain name server (DNS) pour desservir
ces nouveaux domaines. Et si vous ne possédez pas déjà les noms de domaine,
vous devrez contacter l'
Internic
pour enregistrer les noms de domaines. Voyez le DNS-howto pour plus
d'informations sur la configuration de votre DNS.
Dernièrement vous devrez configurer Apache de manière à desservir
correctement le domaine virtuel. Ceci se fait dans le fichier de
configuration httpd.conf près de la fin. Ils vous donnent un exemple
sur la façon de procéder. Toutes les commandes spécifiques au site virtuel
sont placés entre les marqueurs virtualhost . Vous pouvez mettre à peu
près n'importe quelle commande ici.
Généralement vous devrez placer différents répertoires pour le serveur, le
répertoire script, et les fichiers de log. Vous pouvez avoir un nombre
quasi-illimité de sites virtuels en ajoutant plus de marqueurs
virtualhost .
Dans de rares cas vous pouvez avoir à lancer des serveurs séparés si une
directive est nécessaire pour un site virtuel, mais n'est pas accepté dans
les marqueurs du site virtuel. Ceci se fait en utilisant la directive
bindaddress. Chaque serveur aura un nom des fichiers de configuration
différents. Chaque serveur répondra seulement à une seule adresse IP,
spécifiée par la directive bindaddress. C'est un gain incroyable de
ressources système.
Hébergement virtuel par IP partagée
C'est une nouvelle méthode pour l'hébergement virtuel. Elle utilise une
adresse IP simple, tout en conservant les adresses IP pour les vrais
machines (et pas les virtuelles). Dans le même exemple utilisé plus haut ces
30.000 sites virtuels utiliseraient seulement 50 adresses IP (une pour chaque
machine).
Ceci est fait en utilisant le nouveau protocole HTTP 1.1. Le navigateur dit
au serveur quel site il désire lorsqu'il envoie la demande. Le problème est
que les navigateurs qui ne supportent pas HTTP 1.1 obtiendront la page
principale des serveurs, qui peut être configurée pour donner la liste des
sites virtuels disponibles. Ceci ruine la totale illusion de l'hébergement
virtuel. L'illusion que vous avez votre propre serveur.
La configuration est bien plus simple que pour l'hébergement virtuel basé
sur IP. Vous aurez toujours besoin d'obtenir votre domaine à partir de
l'Internic et de configurer votre DNS. Cette fois-ci le DNS pointe sur la
même adresse IP que le domaine original. Ensuite Apache se configure comme
précédemment. Puisque vous utilisez la même adresse IP dans les marqueurs
virtualhost, Apache sait que vous désirez l'hébergement virtuel par IP
partagée.
Il y a différentes choses à faire pour les anciens navigateurs. Je vais vous
expliquer la meilleure. Tout d'abord vous devrez créer vos pages principales
pour un serveur virtuel (soit basé IP, soit par IP partagée). Ceci libère la
page principale pour un lien listant tous vos sites virtuels. Ensuite vous
devrez créer une sortie cachée pour les anciens navigateurs. On le réalise
en utilisant la directive ServerPath pour chaque site virtuel de la
directive virtualhost . Par exemple en ajoutant ServerPath
/monsite/ à www.monsite.com, les anciens navigateurs pourront accéder
au site par www.monsite.com/monsite/. Ensuite mettez dans la page par défaut
du serveur principal un message qui les incitera poliment à obtenir un
nouveau navigateur, et listera les liens sur toutes les sorties cachées des
sites qye vous hébergez sur cette machine. Lorsqu'un ancien navigateur
accèdera au site ils seront renvoyés à la page principale, et auront un lien
sur la page correcte. Les nouveaux navigateurs ne verront jamais la page
principale et iront directement sur les sites virtuels. Vous devez vous
rappeler de conservez tous vos liens relatifs entre les sites web, car les
pages seront demandées à partir de deux URL différentes (www.monsite.com et
www.monsite.com/monsite/).
J'espère que je ne vous ai pas perdu ici, mais ce n'est pas d'une
compréhension simple. Après tout, vous devriez peut-être considérer
l'hébergement basé IP. Une explication très similaire se trouve sur le site
web d'apache à
http://www.apache.org/manual/host.shtml.
Si quelqu'un dispose d'un pointeur sympathique pour l'hébergement par IP
partagée, j'aimerais le connaître. Il serait agréable de connaître le
pourcentage de navigateurs qui supportent le HTTP 1.1, et d'avoir une liste
des navigateurs et des versions qui supportent HTTP 1.1.
7.5 Scripts CGI
Il existe deux méthodes différentes pour donner à vos utilisateurs la
possibilité d'utiliser des scripts CGI. La première est de déclarer tout
fichier se terminant par .cgi comme script CGI. La seconde est de créer
des répertoires de scripts (généralement nommés cgi-bin ). Vous pouvez
également utiliser les deux méthodes. Quelque soit la méthode utilisée vos
scripts doivent être exécutable par n'importe qui (chmod 711 ). En
donnant à vos utilisateurs l'accès aux scripts vous créez un gros risque de
sécurité. Faîtes proprement votre travail afin de minimiser les risques
concernant la sécurité.
Je préfère la première méthode, spécialement pour les scripts complexes.
Ceci vous autorisera à mettre les scripts dans n'importe quel répertoire.
J'aime mettre mes scripts au même endroit que les pages web qui s'en
servent. Pour les sites avec beaucoup de script, ceci est beaucoup mieux que
d'avoir un répertoire plein de scripts. La configuration est simple. Tout
d'abord supprimez le commentaire du marqueur .cgi à la fin du fichier
srm.conf . Ensuite vérifiez que tous vos répertoires ont les marqueurs
option ExecCGI ou All dans le fichier access.conf .
Créer un répertoire de scripts est considéré comme plus sûr.
Pour créer un répertoire de scripts vous utilisez la directive ScriptAlias
dans le fichier srm.conf . Le premier argument est l'Alias, et le second
le répertoire réel. Par exemple ScriptAlias /cgi-bin/
/usr/httpd/cgi-bin/ rend le répertoire /usr/httpd/cgi-bin
capable d'exécuter les scripts. Ce répertoire sera utilisé même si
quelqu'un demande le répertoire /cgi-bin/ . Pour des raisons de
sécurité vous devez également changer les propriétés du répertoire pour
Options none, AllowOveride none dans le fichier access.conf
(supprimer simplement les commentaires de l'exemple donné). Egalement ne
placez pas vos répertoires de scripts en tant que sous répertoire de vos
répertoires de pages web. Par exemple si vous servez les pages à partir de
/home/httpd/html/ , ne créez pas le répertoire de scripts en tant
que /home/httpd/html/cgi-bin ; au lieu de ça mettez le dans
/home/httpd/cgi-bin .
Si vous désirez que vos utilisateurs disposent de leurs propres
répertoires de scripts vous pouvez utiliser de multiples commandes
ScriptAlias . Les sites virtuels doivent avoir cette commande
ScriptAlias dans leurs directives virtualhost .
Est ce que quelqu'un connaît un moyen simple pour autoriser les utilisateurs
à avoir leur propre répertoire cgi-bin sans utiliser des commandes
individuelles ScriptAlias ?
7.6 Répertoires Web des Utilisateurs
Il y a deux différentes méthodes pour s'occuper des répertoires web des
utilisateurs. La première est d'avoir un sous-répertoire dans les
répertoires des utilisateurs (généralement public_html ).
La seconde est d'avoir une aborescence entièrement différente pour les
répertoires web.
Pour ces deux méthodes vérifiez les options d'accès aux répertoires dans le
fichier access.conf .
La première méthode est configurée par défaut dans apache. Lorsqu'une
demande pour /~bob/ arrive, Apache regarde dans le répertoire
public_html du répertoire principal de bob. Vous pouvez changer le
répertoire avec la directive UserDir dans le fichier srm.conf . Ce
répertoire doit lisible et exécutable par tout le monde.
Cette méthode crée un risque pour la sécurité car Apache le répertoire
principal eds utilisateurs doit être exécutable par toute personne afin
qu'Apache puisse y accéder.
La seconde méthode est facile à configurer. Vous devez juste changer la
directive UserDir dans le fichier srm.conf . Il y a
beaucoup de formats différents; vous pouvez voir la documentation d'Apache
pour clarification. Si vous que chaque utilisateur dispose de son propre
répertoire sous /home/httpd/ , vous utiliserez UserDir
/home/httpd . Ensuite lorsqu'une demande arrivera pour /~bob/
Apache la traduira pour /home/httpd/bob/ . Ou si vous avez un
sous-répertoire dans le répertoire de bob vous pouvez utiliser UserDir
/home/httpd/*/html . Ceci traduira en /home/httpd/bob/html/ et
vous autorisera également à avoir un répertoire de script (par exemple
/home/httpd/bob/cgi-bin/ ).
7.7 Mode démon contre mode Inetd
Il y a deux méthodes par lesquelles apache peut tourner. L'une est un démon
qui tourne tout le temps (Apache appelle ceci standalone). La seconde est
celle du super-serveur inetd.
Le mode démon est de loin supérieur au mode inetd. Apache est configuré pour
le mode démon par défaut. La seule raison d'utiliser le mode d'inetd est
pour les applications très peu utilisées, comme les tests de scripts en
interne, l'Intranet d'une petite compagnie, etc. Le mode inetd économisera de la
mémoire car apache ne sera chargé que lorsqu'il sera demandé. Seul le démon
inetd restera en mémoire.
Si vous n'utilisez pas très souvent apache vous pouvez juste vouloir le
conserver en mode démon et le lancer lorsque vous en avez besoin. Ensuite
vous pouvez le supprimer lorsque vous avez terminé (soyez sûr de bien
supprimer le processus parent et non pas un des enfants).
Pour configurer le mode inetd vous devrez éditer quelques fichiers. Tout
d'abord /etc/services regardez si http est déjà présent. S'il n'y
est pas alors ajoutez ceci:
Le placer juste après 79 (finger) serait un bon endroit. Ensuite vous devez
éditer le fichier /etc/inetd.conf et ajouter la ligne pour Apache:
Changez le chemin si vous avez Apache à un autre endroit. et le second httpd
n'est pas une erreur; le démon inetd en a besoin. Si vous n'utilisez
généralement pas le démon inetd, vous pouvez vouloir commenter toutes les
autres lignes du fichier afin de ne pas activer les autres services (FTP,
finger, telnet, et beaucoup d'autres choses qui sont généralement lancées
par ce démon).
Si le démon inetd est déjà lancé (inetd ), alors vous devez lui envoyer
le signal SIGHUP (par kill; voyez la page de manuel de kill pour plus
d'infos) ou relancer l'ordinateur pour que les changements soient effectifs.
Si vous n'avez pas lancé inetd alors vous pouvez le lancer
manuellement. Vous devez également l'ajouter à vos fichiers d'initialisation
afin qu'il soit chargé au lancement (le fichier rc.local serait un bon
choix).
7.8 Autoriser les commandes put et delete
Les nouveaux outils de publication web supportent cette nouvelles méthodes
d'envoi des pages web par http (à la place de FTP). Certains de ces produits
ne supportent même plus le FTP! Apache le supporte, mais il manque d'un
script pour se charger des requêtes. Le script peut être un gros trou de
sécurité, soyez certain de ce que vous faîtes avant de tenter d'en écrire ou
d'en installer un.
Si quelqu'un connaît un script qui fonctionne faîtes le moi savoir et
j'incluerai l'adresse ici.
Pour plus d'informations voyez l'article d'Apacheweek à
http://www.apacheweek.com/features/put.
7.9 Authentification de l'Utilisateur / Contrôle des Accès
Il s'agit de l'une de mes options préférées. Elle vous autorise à protéger
un répertoire ou un fichier par un mot de passe sans utiliser de scripts
CGI. Il vous autorise également à interdire ou à autoriser l'accès sur la
base de l'adresse IP ou du nom de domainde du client. C'est une spécificité
très intéressante pour laisser les crétins hors de votre messagerie et des
vos livres d'or (vous avez l'IP ou le nom de domaine à partir de vos
fichiers de log).
Pour autoriser l'authentification de l'utilisateur le répertoire doit avoir
AllowOverrides AuthConfig dans le fichier access.conf . Pour
autoriser le contrôle d'accès (par domaine ou adresse IP) AllowOverrides
Limit doit être mis pour ce répertoire.
La configuration du répertoire oblige le placement d'un fichier
.htaccess dans le répertoire. Pour l'authentification de l'utilisateur
il est également utilisé avec un .htpasswd et optionnellement un
fichier .htgroup . Ces fichiers peuvent être partagées pour de multiples
fichiers .htaccess si vous le désirez.
Pour des raisons de sécurité je recommande que chacun utilise ces directives
dans leur fichier access.conf:
Si vous n'êtes pas l'administrateur du système vous pouvez également
l'ajouter dans votre fichier .htaccess si AllowOverride Limit est configuré
pour votre répertoire. Cette directive interdira à quiconque de regarder
dans vos fichiers de contrôle d'accès (.htaccess, .htpasswd, etc).
Il y a de nombreux types de fichiers et d'options qui peuvent être utilisés
avec le contrôle d'accès. Toutefois il n'est pas de la compétence de ce
document de décrire ces fichiers. Pour les informations sur la configuration
de l'authentification des utilisateurs voyez l'article d'Apacheweek à
http://www.apacheweek.com/features/userauth ou les pages de la NCSA à
http://hoohoo.ncsa.uiuc.edu/docs-1.5/tutorials/user.shtml.
7.10 su-exec
su-exec lance les scripts CGI en tant qu'utilisateur du propriétaire.
Normalement ils sont lancés en tant qu'utilisateur du serveur web
(généralement nobody). Ceci autorise les utilisateurs à accéder à leurs
propres fichiers CGI sans les rendre autorisés en écriture (un trou de
sécurité). Mais si vous ne faîtes pas attention vous pouvez un trou encore
plus gros en utilisant le code su-exec. Celui-ci effectue des contrôles de
sécurité avant d'exécuter les scripts, mais si vous le configurez de manière
incorrecte vous aurez un trou de sécurité.
Le code su-exec n'est pas pour les amateurs. Ne l'utilisez pas si vous ne
savez pas ce que vous faîtes. Vous pouvez terminer par un gros problème de
sécurité où vos utilisateurs peuvent obtenir des accès super-utilisateurs
pour votre système. Ne modifiez pas le code quelqu'en soit la raison. Lisez
attentivement toute la documentation. Le code su-exec est intentionnellement
difficile à configurer afin d'éviter l'utilisation par des amateurs (tout
doit être fait à la main, il n'y a pas de script d'installation).
Le code su-exec se trouve dans le répertoire support des sources. Tout
d'abord vous devez éditer le fichier suexec.h pour votre système.
Ensuite vous devez compiler le code su-exec avec cette commande:
Copiez ensuite l'exécutable suexec dans le répertoire approprié. Apache le
place par défaut dans /usr/local/etc/httpd/sbin/ . Ceci peut être
changé en éditant le fichier httpd.h dans les sources d'Apache et en
recompilant Apache. Apache regardera seulement dans ce répertoire, Il ne
cherchera pas ailleurs. Ensuite le fichier doit être changé pour la
possession par le super-utilisateur (chown root suexec ) et les
permissions doivent être changées (chmod 4711 suexec ).
Enfin relancez Apache, il doit vous donner un message sur la console
indiquant que su-exec est utilisé.
Les scripts CGI doivent être mis en exécutable par tous comme d'habitude.
Ils seront automatiquement lancés par le possesseur du script CGI. Si vous
changez les permissions les scripts CGI ne fonctionneront pas. Si le
répertoire ou le fichier est en écriture par tous ou par un groupe le script
ne fonctionnera pas. Les scripts possédés par les utilisateurs système ne
doivent pas être lancés (root, bin, etc.). Pour les autres conditions de
sécurité qui doivent être remplies voyez la documentation de su-exec. Si
vous avez des problèmes voyez le fichier de log de su-exec nommé
cgi.log .
Su-exec ne fonctionne pas si vous lancez Apache par inetd, il fonctionne
seulement en mode démon. Ceci sera fixé dans la prochaine version car il n'y
aura pas de mode inetd. Si vous aimez jouer avec le code source, vous pouvez
éditer le fichier http_main.c. Vous pouvez rire de la ligne où Apache
annonce qu'il utilise le su-exec wrapper (ceci est faussement marqué sur
l'avant de toute sortie).
Lisez attentivement la documentation d'Apache sur su-exec. Elle est inclue
dans les sources et est disponible sur le site web d'Apache à
http://www.apache.org/docs/suexec.shtml.
7.11 Imagemaps
Apache peut gérer des cartes d'images du côté du serveur. Ce que l'on
appelle "Imagemaps" sont les images des pages web qui envoient les
utilisateurs à divers emplacements, dépendant de l'endroit où ils cliquent.
Pour utiliser les imagemaps vérifiez que le module imagemap est installé
(c'est un des modules par défaut). Ensuite vous devez supprimer le
commentaire de la ligne .map à la fin du fichier srm.conf .
Maintenant tous les fichiers se terminant en .map seront des fichiers
d'imagemap. Les fichiers imagemap délimitent différentes aires sur l'image
renvoyant vers des liens séparés. Apache utilise des fichiers d'aires au
format standard NCSA. Voici un exemple utilisant un fichier d'aire dns une
page web:
Dans cette exemple mapfile.map est le fichier d'aires, et
picture.gif est l'image cliquable.
Il y a de nombreux programmes qui peuvent générer des fichiers d'aires
compatibles NCSA ou vous pouvez les créer vous-même. Pour une discussion
plus détaillée sur les imagemaps et les fichiers d'aires voyez l'article
d'Apacheweek à
http://www.apacheweek.com/features/imagemaps.
7.12 SSI/XSSI
Les Server Side Includes (SSI) ajoutent un contenu dynamique à des pages web
qui sinon seraient statiques. Les en-têtes sont ajoutés dans les pages web
en tant que commentaires. Le serveur web les exécute ensuite et passe les
résultats au serveur web. SSI peut ajouter des en-têtes et des notes de
pieds aux documents, ajouter la date à laquelle le document a été modifié
pour la dernière fois, exécuter une commande système ou un script CGI. avec
le tout nouveau eXtended Server Side Includes (XSSI) vous pouvez faire bien
plus. XSSI ajoute les variables et les instructions de contrôle du flux (if,
else, etc). C'est quasiment comme avoir un langage de programmation avec
lequel on peut travailler.
L'analyse syntaxique de tous les fichiers pour les commandes SSI utiliserait
beaucoup de ressources système. Cependant vous devez distinguer les fichiers
HTML normaux de ceux qui contiennent les commandes SSI. Ceci se fait
généralement en changeant l'extension des fichiers HTML utilisant SSI.
Généralement on utilise l'extension .shtml .
Pour faire fonctionner SSI/XSSI vérifiez tout d'abord que le module des
en-têtes est installé. Editez ensuite srm.conf et supprimez les
commentaires des directives AddType et AddHandler pour les
fichiers .shtml . Finalement vous devez configurer Options Includes
pout tous les répertoires où vous désirez lancer des fichiers SSI/XSSI. Ceci
se fait dans le fichier access.conf . Maintenant tous les fichiers avec
l'extension .shtml seront analysés pour les commandes SSI/XSSI.
Un autre moyen de faire fonctionner les en-têtes est d'utiliser la directive
XBitHack . Si vous la mettez en marche il regardera si le fichier est
exécutable par l'utilisateur. Si il l'est et que Options Includes est
autorisé pour le répertoire, alors le fichier sera traité comme un fichier
SSI. Ceci fonctionne seulement pour les fichiers dont le type mime est
text/html (fichiers .shtml .htm ). Ceci n'est pas la méthode préférée.
Il y a un risque pour la sécurité en autorisant SSI à exécuter des commandes
systèmes et des scripts CGI. Toutefois il est possible de bloquer cette
possibilité avec la directire Option IncludesNOEXEC au lieu de Option
Includes dans le fichier access.conf . Toutes les autres commandes SSI
fonctionneront encore.
Pour plus d'informations voyez la documentation d'Apache mod_includes qui se
trouve dans les sources. Il est également disponible sur le site web à
http://www.apache.org/docs/mod/mod_include.shtml.
Pour une discussion plus détaillée de l'implémentation SSI/XSSI voyez
l'article d'Apacheweek à
http://www.apacheweek.com/features/ssi.
Pour plus d'informations sur les commandes SSI voyez la documentation de la
NCSA à
http://hoohoo.ncsa.uiuc.edu/docs/tutorials/includes.shtml.
Pour plus d'informations sur les commandes XSSI allez sur
ftp://pageplus.com/pub/hsf/xssi/xssi-1.1.shtml.
7.13 Système modulaire
Apache peut être étendu pour supporter quasiment tout avec les modules.
Il y a beaucoup de modules qui existent déjà. Seul les modules d'intérêt
général sont inclus avec Apache. Pour les liens vers les modules existants
allez voir le
Apache Module Registry à
http://www.zyzzyva.com/module_registry/.
Pour les informations sur la programmation des modules voyez
http://www.zyzzyva.com/module_registry/reference/
[22 février 2002, JDNet]
|