Installation sécurisée

globalsi · 2012-01-24 18:20:50

Bonjour,

J'ai installé mon GLPI (0.80.5) sur une debian 6.

Je cherche maintenant à sécuriser correctement mon installation.

J'ai donc activé ssl sur apache pour faire de l'https.
Mon serveur écoute donc sur le 80 et le 443.
Le serveur en 80 ne contient qu'une page d'accueil qui redirige vers le https (histoire de ne pas perdre des personnes qui aurait mal saisi l'url)

J'ai désactivé dans la configuration de apache la possibilité le lister les fichiers des répertoires (-Indexes).
Du coup, on ne peut plus se ballader comme on veut pour lire les fichiers pdf ou autre.

Par contre, si quelqu'un connait le chemin et le nom d'un fichier précisément, il peut tout à faire y accéder en lecture. C'est le cas pour tous les fichiers de configuration, de logs ...
J'aimerai donc bien pouvoir bloquer cette possibilité ; avez-vous une piste pour faire ça ?

Avez-vous d'autres idées éventuellement pour sécuriser ?

remi · 2012-01-24 18:45:48

Normalement les répertoires sensibles sont protégés par un .htaccess (fourni)

Sinon, avec l'installation en paquet (.deb dans votre cas), c'est aussi prévu d'office (puisque la conf, par exemple, n'est pas dans l'arobrence web, mais dans /etc)

globalsi · 2012-01-24 18:54:45

visiblement le suis dans la section windows et non pas linux ...

globalsi · 2012-01-24 19:00:12

remi wrote:

Normalement les répertoires sensibles sont protégés par un .htaccess (fourni)
Sinon, avec l'installation en paquet (.deb dans votre cas), c'est aussi prévu d'office (puisque la conf, par exemple, n'est pas dans l'arobrence web, mais dans /etc)

ha... moi j'ai tout dans le /var/www ... me semble pas pourtant avoir modifié ça....
(le temps que le cerveau fonctionne de temps..)
heu oui c'est normal, j'ai pas installé par un apt-get mais par la version tar.gz du site.

Last edited by globalsi (2012-01-24 19:08:53)

wawa · 2012-01-24 19:13:54

globalsi wrote:

visiblement le suis dans la section windows et non pas linux ...

post déplacé dans la section linux

globalsi · 2012-01-24 20:00:20

merci wawa pour le déplacement.

pour en revenir à la sécurisation... j'ai relu la doc et elle précise bien de mettre le dossier glpi dans l'arborescence du serveur web pour qu'il soit accessible.

J'ai fait des tests pour mieux analyser les droits d'accès en écriture
* des sous-dossiers config ou ajax semblent protégés de lecture direct
* le sous-dossier files semble libre d'accès (donc logs, dumps, PDF ...) ce qui est franchement très problématique. Est-ce que par défaut ce dossier est réellement accessible via le navigateur ou bien c'est moi qui me suis loupé dans la conf ?

Last edited by globalsi (2012-01-24 20:04:34)

remi · 2012-01-24 20:36:56

Le dossier files contient un .htaccess qui le bloque, comme config

Il n'a aucune raison d'être accessible directement (il faut passer par GLPI qui vérifie les droits de l'utilisateurs connecter sur les documents)

Donc : vérifier que les .htacess sont bien autoriser dans le config d'apache.

globalsi · 2012-01-25 00:44:16

donc si je comprends bien, il faut que je change dans ma conf apache la directive AllowOverride (passage de none à all)
Je me retrouve donc avec

<Directory /var/www/glpi/>
        Options -Indexes +FollowSymLinks +MultiViews
        AllowOverride all
        Order allow,deny
        allow from all
</Directory>

et après une relance de Apache, les accès sont bien comme il faut (à priori... ).

Il serait peut-être sympa de préciser dans les wiki ou autre guide d'installation l'importance de cette directive. Je crois que par défaut, lors d'une installation apache, elle est souvent à None plutôt que All et du coup ça fragilise pas mal la sécurité de glpi.

En tout cas merci remi et globalement merci glpi.

Last edited by globalsi (2012-01-25 00:44:34)

ddurieux · 2012-01-25 01:40:30

Oui enfin si t'installe / utilise Apache, tu devait connaitre un peu la documentation de celui-ci

globalsi · 2012-01-25 10:39:11

C'est vrai que je suis pas expert apache même je connais sommairement le principe. Ce que je ne savais pas par contre, c'était que glpi utilisait les htaccess pour la sécurité. Maintenant je le sais et j'ai corrigé ma conf apache en conséquence.

Après, mais ce n'est que mon avis d'utilisateur non expert (et c'est peut-être le cas d'autres utilisateurs glpi), j'aurai trouvé utile que cette info soit présente sur la doc ou les wiki (vu que ce n'est pas la configuration d'apache par défaut me semble-t-il).

Enfin je précise, pour que ce soit bien claire, que c'était juste une remarque pour essayer de "contribuer" à la bonne utilisation/installation par tous de GLPI et en aucun cas une critique négative.

Encore une fois, merci à glpi.

PS : si le sujet est clos, un admin peut le fermer.

Forum GLPI-Project

Announcement

#1 2012-01-24 18:20:50

Installation sécurisée

#2 2012-01-24 18:45:48

Re: Installation sécurisée

#3 2012-01-24 18:54:45

Re: Installation sécurisée

#4 2012-01-24 19:00:12

Re: Installation sécurisée

#5 2012-01-24 19:13:54

Re: Installation sécurisée

#6 2012-01-24 20:00:20

Re: Installation sécurisée

#7 2012-01-24 20:36:56

Re: Installation sécurisée

#8 2012-01-25 00:44:16

Re: Installation sécurisée

#9 2012-01-25 01:40:30

Re: Installation sécurisée

#10 2012-01-25 10:39:11

Re: Installation sécurisée

Board footer