Apache: Interdire le dossier “.svn”

Lors du développement ou de la pré-prod (en production, c’est n’est pas très malin), il se peut que vous utilisiez la commande “svn co” pour extraire les fichiers de votre dépôt SVN et les mettre sur le serveur web, puis utiliser “svn update” pour mettre à jour très simplement. Lors de cette manipulation, dans tous les dossiers et sous-dossiers extraits du dépôt, des dossiers “.svn” sont créés, contenant des informations à propos du dépôt et des fichiers présents dans ces dossiers. Ces informations sont confidentielles et ne doivent pas être volées. Malgré la protection d’accès à la version de développement – s’il y a – il se peut qu’un étranger y ai accès. Nous allons donc voir comment interdire l’accès à ces dossiers par deux méthodes

Interdire les dossiers via <Directory>

Nous allons donc interdire toute personne à entrer dans les dossiers “.svn” et ses sous-dossiers. Dans un fichier HTACCESS, dans un VirtualHost ou bien dans la configuration globale d’Apache, vous pouvez utiliser la directive <Directory> pour ajouter des paramètres à certains dossiers : Continue reading Apache: Interdire le dossier “.svn”

facebooktwittergoogle_plusredditpinterestlinkedinmail

Forcer l’utilisation de PHP5 avec Apache via HTACCESS

Parfois, – il est le cas des mutualisés d’OVH – certains hébergements proposent PHP en versions 4 et 5. Seulement, la version par défaut des fichiers “.php” est la numéro 4, ce qui peux poser de gros problèmes (avec la POO notament) de compatibilité si votre serveur de développement / pré-prod utilise la version 5…

Pour celà, on peux forcer l’utilisation de la version 5 en modifiant une variable globale d’Apache en une ligne seulement :

Cette ligne peut être insérée dans un fichier “.htaccess” (à la racine de votre espace d’hébergement s’il s’agit d’un dédié ou même dans un dossier si vous voulez utiliser PHP5 dans ce dossier spécialement), dans un VirtualHost si vous administrez votre serveur Web ou dans la configuration globale d’apache (apache2.conf par exemple ).

facebooktwittergoogle_plusredditpinterestlinkedinmail

Compiler et Installer Apache 2

Nous allons voir dans cet article comment installer et compiler Apache 2 depuis les sources. Cette méthode permet par exemple d’enlever l’en-tête “Server” inutile et que l’on ne peux pas enlever ensuite…

Télécharger et décompresser

Nous allons télécharger la source d’Apache2. La dernière version stable est actuellement la 2.2.11, laquelle je met donc à disposition à télécharger depuis les serveurs de Mes-Stats.

Continue reading Compiler et Installer Apache 2

facebooktwittergoogle_plusredditpinterestlinkedinmail

Enlever l’en-tête “Server” d’Apache

Le serveur HTTP Apache ajoutes à chaque page l’en-tête “Server” contenant des informations quant au logiciel utilisé pour délivrer la page. Cet en-tête n’est pas indispensable, comme annoncé dans les RFC. Enlever cette en-tête ne peux se faire par une configuration dans apache2.conf ou autre, il faut obligatoirement y penser lors de l’installation, plus précisément lors de la compilation à partir des sources.

Une fois les sources dé-packetées, il faut modifier le fichier “http_filters.c” dans le dossier “modules/http”. Remplacez:

Continue reading Enlever l’en-tête “Server” d’Apache

facebooktwittergoogle_plusredditpinterestlinkedinmail

PHP: X-Powered-By

Lorsqu’on regarde les en-têtes envoyées et reçues par le navigateur Internet à propos de la page en cours, il y a certaines en-têtes qui polluent vraiment…

Je pense au “X-Powered-By” ajouté par PHP pour dire qu’il est bien passé par là ! Le fait de mettre de information peut poser des problèmes de sécurité. En effet, si votre version de PHP n’est pas à jour (pas bien!) il se peut que des failles aient étés découvertes depuis et non-corrigées dans votre version. Un “hacker” peut ainsi s’introduire dans votre machine et y voler des informations.

Bref, il n’y a pas tant de risque que ça mais en production, il est toujours conseiller de minimiser la taille de toutes les en-têtes (comme pour les ETags par exemple) et de ne pas laisser trainer trop d’informations à propos de vos serveurs… Continue reading PHP: X-Powered-By

facebooktwittergoogle_plusredditpinterestlinkedinmail