Forum GLPI-Project

francky

Member

Registered: 2017-11-29

Posts: 4

Avertissement sécurité GLPI

Bonjour,

Je sais que c'est un sujet qui est souvent revenu mais je n'ai pas trouvé la solution pourtant, j'ai suivi la documentation.
J'ai donc fait une mise à jour de GLPI de la version 10.0.3 vers la 10.0.17
Et depuis, j'ai ce message de sécurité qui persiste : La configuration du dossier racine du serveur web n'est pas sécurisée car elle permet l'accès à des fichiers non publics. Référez-vous à la documentation d'installation pour plus de détails.

J'ai enlevé les autres messages en faisant une mise à jour de mySQL et de PHP. Mais ce dernier perdure...

Voiric ma config

glpi.conf

<VirtualHost *:80>
        ServerName glpi
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html/glpi/public
        Alias "/glpi" "/var/www/html/glpi/public"
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
        <Directory /var/www/html/glpi/public>
                Require all granted
                RewriteEngine On
                RewriteCond %{REQUEST_FILENAME} !-f
                RewriteRule ^(.*)$ index.php [QSA,L]
        </Directory>
</VirtualHost>

fichier .htaccess

RewriteBase /
RewriteEngine On
RewriteCond %{REQUEST_URI} !^/public
RewriteRule ^(.*)$ public/index.php [QSA,L]

Les droits sur les dossiers ont l'air correct

drwxr-xr-x 25 www-data www-data  4096 Dec  5 10:53 ./
drwxr-xr-x 17 root     root      4096 Dec  4 14:03 ../
drwxr-xr-x  2 www-data www-data  4096 Nov  6 09:31 ajax/
-rw-r--r--  1 www-data www-data 64195 Nov  6 09:31 apirest.md
-rw-r--r--  1 www-data www-data  1594 Nov  6 09:31 apirest.php
-rw-r--r--  1 www-data www-data  1561 Nov  6 09:31 apixmlrpc.php
drwxr-xr-x  2 www-data www-data  4096 Nov  6 09:31 bin/
-rw-r--r--  1 www-data www-data  1460 Nov  6 09:31 caldav.php
-rw-r--r--  1 www-data www-data 45514 Nov  6 09:31 CHANGELOG.md
drwx------  2 www-data www-data  4096 Dec  2 11:07 config/
-rw-r--r--  1 www-data www-data  2060 Nov  6 09:31 CONTRIBUTING.md
drwxr-xr-x  7 www-data www-data  4096 Nov  6 09:32 css/
drwxr-xr-x  2 www-data www-data  4096 Nov  6 09:34 css_compiled/
drwx------ 23 www-data www-data  4096 Dec  5 10:51 files/
drwxr-xr-x  4 www-data www-data 36864 Dec  4 15:19 front/
-rw-r--r--  1 root     root       138 Dec  5 10:54 .htaccess
drwx------  2 www-data www-data  4096 Dec  2 11:52 inc/
-rw-r--r--  1 www-data www-data  6368 Nov  6 09:31 index.php
drwx------  4 www-data www-data  4096 Dec  2 11:17 install/
-rw-r--r--  1 www-data www-data   682 Nov  6 09:31 INSTALL.md
drwxr-xr-x  5 www-data www-data  4096 Nov  6 09:32 js/
drwxr-xr-x  4 www-data www-data  4096 Nov  6 09:31 lib/
-rw-r--r--  1 www-data www-data 35148 Nov  6 09:31 LICENSE
drwxr-xr-x  2 www-data www-data  4096 Nov  6 09:34 locales/
drwx------  3 www-data www-data  4096 Dec  5 10:33 marketplace/
-rw-r--r--  1 www-data www-data   803 Nov  6 09:31 phpstan.neon.dist
drwxr-xr-x  4 www-data www-data  4096 Nov  6 09:31 phpunit/
drwxr-xr-x 10 www-data www-data  4096 Nov  6 09:31 pics/
drwx------  2 www-data www-data  4096 Nov  6 09:34 plugins/
drwxr-xr-x  3 www-data www-data  4096 Nov  6 09:32 public/
-rw-r--r--  1 www-data www-data  8705 Nov  6 09:31 README.md
drwxr-xr-x  3 www-data www-data  4096 Nov  6 09:31 resources/
-rw-r--r--  1 www-data www-data  1209 Nov  6 09:31 SECURITY.md
drwxr-xr-x  2 www-data www-data  4096 Nov  6 09:31 sound/
drwxr-xr-x 25 www-data www-data 32768 Nov  6 09:31 src/
-rw-r--r--  1 www-data www-data  2476 Nov  6 09:31 status.php
-rw-r--r--  1 www-data www-data   481 Nov  6 09:31 SUPPORT.md
drwxr-xr-x  8 www-data www-data  4096 Nov  6 09:31 templates/
drwxr-xr-x 38 www-data www-data  4096 Nov  6 09:34 vendor/
drwxr-xr-x  2 www-data www-data  4096 Nov  6 09:31 version/

J'ai verifé la sécurité sur les dossiers config marketplace et files

Forbidden
You don't have permission to access this resource.

Apache/2.4.41 (Ubuntu) Server at 192.168.14.10 Port 80

Je ne vois pas ce qui pêche..

Chico008

Member

Registered: 2022-12-14

Posts: 466

Re: Avertissement sécurité GLPI

Bonjour
Tu as bien penser a redemarrer apache quand t'a fait tes modification de configuration ?
t'a vider le cache de ton navigateur ?

Pour te connecter a ton glpi, tu passes par le nom du serveur /glpi (http://192.168.14.10/glpi) ? ou directement via un dns specifique ? (http://glpi.macompagnie.et)
Si c'est le cas n°2, la commande alias est a retirer, et il faut faire correspondre ta directive ServerName a ton DNS.
si c'est le cas 1, ServerName n'est pas utile

le fichier .htaccess, c'est toi qui l'a modifier ?
de mon coté toutes les commandes sont commenté car les regles de reecriture sont géré par apache (comme tu le fait de ton coté)
le fait que les avoir a la fois dans la conf apache et dans le .htaccess provoque peut etre une anomalie d'interpretation.

francky

Member

Registered: 2017-11-29

Posts: 4

Re: Avertissement sécurité GLPI

Bonjour,

Je suis le cas n°1, je tape bien http://192.168.14.10/glpi
J'ai également essayé sans les fichiers .htacces, c'est idem.
Le .htacces j'ai pris celui de la documentation : https://glpi-install.readthedocs.io/en/ … sites.html

Chico008

Member

Registered: 2022-12-14

Posts: 466

Re: Avertissement sécurité GLPI

Le fichier .htaccess en principe t'a pas besoin d'y toucher, il est deja fait a l'installation, et il faut y mettre les main quand tu peut pas parametrer directement ton serveur apache.
donc laisse le (ou remet le) a son origine.

Du si tu accede en serveur/glpi, il faut retirer t'es balises virtualhost et la directive ServerName.

francky

Member

Registered: 2017-11-29

Posts: 4

Re: Avertissement sécurité GLPI

Bonjour,

J'ai mis les .htaccess à l'origine, j'ai enlevé la directive servername.
En revanche, si j'enleve les balises virtualhost, GLPI ne fonctionne plus. Mon site racine fonctionne toujours, mais pas GLPI, les autres sites fonctionnent également.