Publication GLPI sur Internet

raspoutchia · 2011-06-22 11:49:39

Bonjour,

Nous comptons publier GLPI sur Internet pour en faire bénéficier nos utilisateurs externes.

Comme je suis profane en matière de sécurité, merci de m'éclairer quant aux dispositions à prendre pour réussir cette opération.

Je suis à votre disposition pour toute information complémentaire

ddurieux · 2011-06-22 12:04:30

Mettre du https en premier lieu, ne pas laiser les comtpes GLPI par défaut activés.
C'est déjà un bon début

raspoutchia · 2011-06-22 16:21:23

pour la désactivation par défaut des comptes GLPI c'est ok,

mais pour https, je ne sais pas comment faire,

la littérature libre est tellement riche et spécifique à la fois que je ne suis pas encore tombé sur le bon Tuto,

si ça peut aider, j'utilise la distribution openSUSE11.2 pour GLPI,

merci d'avance pour votre aide

raspoutchia · 2011-06-27 10:49:35

c'est ok pour la désactivation des comptes GLPI par défaut
c'est ok aussi pour https mais le problème c'est que je n'arrive pas à désactiver http, merci de votre aide sur ce point
sinon, à part ces 2 points, est ce qu'il y a d'autres précautions à prendre pour publier GLPI sur Internet ?
merci par avance de votre aide.

posidonis · 2011-07-03 14:12:34

>"mais le problème c'est que je n'arrive pas à désactiver http, merci de votre aide sur ce point"

1- Utiliser https uniquement pour la page d'authentification du moment que l'accès à toute autre page requiert déjas que vous avez ouvert une session.

Autres points:

2- Protéger l'aroboressance des fichiers de glpi avec un fichier .htaccess

http://www.siteduzero.com/tutoriel-3-14 … ccess.html

3- Utiliser un fichier robots.txt qui annule l'indexation de toute ton arboressance de fichiers glpi par les webbots (les robots d'indexation des moteurs de recherche)

Avec ça c'est déjas un bon départ.

raspoutchia · 2011-07-20 10:48:43

bonjour,

Points 1 et 3 Ok,

Par contre pour le point 2, j'ai suivi à la lettre le tuto mais j'accède librement aux fichiers censés être protégés par mot de passe. Ci-après le test que j'ai exécuté:
j'ai placé les fichiers .htaccess et .htpasswd au niveau du répertoire /glpi que je voulais protéger mais j'accède librement aux fichiers et sous-répertoires de /glpi sans qu'aucun mot de passe ne me soit demandé.

Ci-après également le code de ces fichiers:

Fichier .htaccess :

AuthName "Page d'administration protégée"
AuthType Basic
AuthUserFile "/srv/www/htdocs/glpi/.htpasswd"
Require valid-user

Fichier .htpasswd :

toto:$1$GCPJCPNC$0PG26zgDX1FOyckHRcIhI/

Merci de votre aide

yllen · 2011-07-25 10:50:12

Supprimez les " pour le AuthUserFile

raspoutchia · 2011-07-25 12:35:19

J'ai supprimé les " mais le résultat est le même,

A titre d'information et pour le besoin de ce test, j'essaie d'accéder aux fichiers censés être protégés avec une connexion à distance au serveur de test avec l'outil Win SCP et en utilisant le compte root.

yllen · 2011-07-25 13:15:05

Il faut faire le test de connection avec un compte utilisateur final et en mode WEB

raspoutchia · 2011-08-05 14:07:37

je n'ai pas compris ce que vous voulez dire par 'compte utilisateur final et en mode WEB'

merci de me donner plus de précisions

yllen · 2011-08-05 14:21:27

Il faut faire le test en vous connectant à GLPI en mode graphique avec un utilisateur habilité dans le .htaccess et un autre sans habilitation.

En effet, en faisant le test via winscp en root, vous n'appelez pas le .htaccess

raspoutchia · 2011-08-16 14:32:48

je viens de faire le test mais l'accès est libre aux dossiers/fichiers sensées être protégés.

coté serveur, j'ai changé dans le fichier etc/apache2/httpd.conf la directive AllowOverride de None à All mais apparemment, ce n'est pas suffisant,

est ce qu'il y a d'autres paramétrages à opérer pour réussir ce test ?

ma version apache est 2.0

raspoutchia · 2011-08-18 13:42:36

ça marche maintenant,

il a suffit de changer aussi dans le fichier default-server.conf la directive AllowOverride de None à All

si non, il me reste à tester mon fichier robots.txt.

ci-après le contenu que j'ai choisi pour ce fichier :

User-agent: *
Disallow: /

d'abord est ce c'est posible de faire ce test ?

si oui, merci de préciser comment s'y prendre pour ce contenu précis

raspoutchia · 2011-08-22 12:07:18

les outils Google pour webmasters permettent à titre d'exemple de tester le fichier robots.txt,

les points 1, 2 et 3 sont maintenant mis en œuvre et testés,

est ce qu'il y a d'autres précautions à prendre pour la publication de GLPI sur Internet ?

raspoutchia · 2011-08-30 14:49:21

Il ne me reste que peu de temps pour publier GLPI sur Internet afin qu'il soit utilisé aussi par nos clients externes en plus de nos utilisateurs internes,

S'il y a d'autres précautions à prendre pour prémunir GLPI des risques de sécurité liés à Internet, merci de bien vouloir me le préciser.

Forum GLPI-Project

Announcement

#1 2011-06-22 11:49:39

Publication GLPI sur Internet

#2 2011-06-22 12:04:30

Re: Publication GLPI sur Internet

#3 2011-06-22 16:21:23

Re: Publication GLPI sur Internet

#4 2011-06-27 10:49:35

Re: Publication GLPI sur Internet

#5 2011-07-03 14:12:34

Re: Publication GLPI sur Internet

#6 2011-07-20 10:48:43

Re: Publication GLPI sur Internet

#7 2011-07-25 10:50:12

Re: Publication GLPI sur Internet

#8 2011-07-25 12:35:19

Re: Publication GLPI sur Internet

#9 2011-07-25 13:15:05

Re: Publication GLPI sur Internet

#10 2011-08-05 14:07:37

Re: Publication GLPI sur Internet

#11 2011-08-05 14:21:27

Re: Publication GLPI sur Internet

#12 2011-08-16 14:32:48

Re: Publication GLPI sur Internet

#13 2011-08-18 13:42:36

Re: Publication GLPI sur Internet

#14 2011-08-22 12:07:18

Re: Publication GLPI sur Internet

#15 2011-08-30 14:49:21

Re: Publication GLPI sur Internet

Board footer