Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:apache [2024/10/26 12:09] – ajout de quelques options zatalyz
+++ fr:apache [2024/10/26 15:22] (Version actuelle) – [Les arguments proxy] zatalyz
@@ Ligne 63: / Ligne 63: @@
         <Directory /var/www/monsite/ >
-                Options Indexes FollowSymLinks MultiViews
+                Options FollowSymLinks MultiViews
                 AllowOverride All
-                Order allow,deny
+                Require all granted
-                allow from all
         </Directory>
@@ Ligne 77: / Ligne 76: @@
   * ''SSLCertificateFile'' et ''SSLCertificateKeyFile'' : indique le chemin des deux fichiers du certificat. Il faut évidement adapter le chemin au nom de domaine, et avoir généré le certificat (on voit ça plus bas).
   * ''Alias'' : permet de faire des URL plus élégantes. Une option parmi d'autres... Ici, sans alias, le dokuwiki serait accessible avec le lien "monsite.org/undossier/unautredossier/dokuwiki" ce qui est longuet ; l'alias permet que le lien "monsite.org/dokuwiki" serve le dokuwiki. On peut même pointer un dossier hors de ''/var/www'' (par exemple ''/home/moi/unboutdesite''. Il y a parfois des bonnes raisons de le faire ;). Voir plus bas le détail !
-  * ''Directory'' : va permettre de déclarer diverses options, rendant le dossier (et donc le site web associé) utilisable pour la navigation web, en tirant partie par exemple des possibilités de php, mais aussi en indiquant ce qui est permis et interdit et contribue donc un peu à la sécurité. Ici, ce sont des options classiques qui fonctionnent dans 90% des cas.
+  * ''Directory'' : va permettre de déclarer diverses options, rendant le dossier (et donc le site web associé) utilisable pour la navigation web, en tirant partie par exemple des possibilités de php, mais aussi en indiquant ce qui est permis et interdit et contribue donc un peu à la sécurité. Ici, ce sont des options classiques qui fonctionnent dans 90% des cas. Mais il faut adapter parfois suivant les dossiers :
+    * ''Options'' : attention à déclarer uniquement ce qui est utile.
+      * ''Indexes'' permet de lister les fichiers dans un répertoire si aucun fichier index (comme index.html ou index.php) n'est présent, ce qui peut poser des problèmes de sécurité. Donc on peut éviter ?
+      * ''FollowSymLinks'' : Autorise Apache à suivre les liens symboliques (symlinks) dans le répertoire. Voir aussi la doc sur ''SymLinksIfOwnerMatch'' (usage plus spécifique).
+      * ''MultiViews'' : Permet à Apache de servir différentes versions d'un même fichier selon la requête du client (langue, type de contenu, etc.)
+      * ''ExecCGI'', ''Includes'', ''IncludesNOEXEC'' sont intéressants mais allez voir la doc officielle, parce que c'est assez pointu comme usage.
+      * ''None'' : pour interdire toutes les options dans un répertoire.
+    * ''AllowOverride All'' permet l'utilisation de fichiers .htaccess ; cela peut avoir un impact sur les performances. Mais pas mal de CMS utilisent les htaccess.
+    * ''Require all granted'' : Remplace les anciennes directives ''Order allow,deny'' et ''allow from all''. Cela autorise toutes les requêtes à accéder à ce répertoire.
+      * ''Require all denied'' pour interdire l'accès (utile pour s'assurer que certains dossiers ne seront pas du tout accessibles)
+      * ''Require ip'' : Permet de restreindre l'accès à des adresses IP spécifiques ou à des plages d'adresses IP.
+      * ''Require host'' : Permet d'autoriser l'accès basé sur le nom d'hôte de la requête.
+      * ''Require user'' et ''Require valid-user'' : Permet d'accorder l'accès à des utilisateurs spécifiques ce qui demande d'utiliser des mécanismes d'authentification
+      * ''Require env'' : Permet d'accorder l'accès en fonction d'une variable d'environnement, ça commence à être assez pointu comme usage.
+      * ''Require expr'' : Permet d'utiliser une expression conditionnelle pour contrôler l'accès. Par exemple toutes les ip du réseau interne.
 Après chaque modification de ces fichiers, afin que ce soit pris en compte, vérifiez la configuration et relancez le service apache
@@ Ligne 375: / Ligne 390: @@
   * ''ProxyErrorOverride'' force Apache sur le proxy à renvoyer ses propres pages d'erreur au lieu de celles du serveur backend
     * ''ProxyErrorOverride On''
+  * ''ProxyVia'' permet d'ajouter des en-têtes Via aux requêtes traitées par un serveur proxy. Utile au débogage mais a un impact sur la confidentialité (permet à des tiers de savoir qu'il y a un proxy).
+  * ''ProxyRequests'' : permet (ou non) au serveur de servir de proxy à des clients externes.
+    * ''On'' : proxy ouvert, ce qui peut poser des soucis de sécurité, il faut bien paramétrer <Proxy *> ensuite. En dehors de cas d'usages très spécifique, à éviter.
+    * ''Off'' : mettez ça par défaut.
 Les options concernant le cache et les buffers (absolument dispensable) :
@@ Ligne 558: / Ligne 578: @@
 Ajoutez uniquement la ligne suivante (sans rien changer) :
-  ServerName locahost
+  ServerName localhost
 Puis activez tout cela :