Réseaux locaux et TCP/IP Configuration d`un serveur - Accueil
Transcription
Réseaux locaux et TCP/IP Configuration d`un serveur - Accueil
EICW Réseaux locaux et TCP/IP Configuration d’un serveur web avec HTaccess Notes de cours G. Barmarin YRES (50 périodes) Formation webmaster EICW 2007-2008 1 Configuration d’un serveur apache avec le fichier .htaccess (Source : http://www.webmaster-hub.com/publication/article4.html et site d’OVH) Le fichier .htaccess Ce chapitre a pour but de vous faire découvrir le fichier .htaccess et son utilisation pour améliorer votre site web. Le fichier .htaccess est un fichier texte particulier qui est détecté par le serveur web (Apache), et qui permet de définir des règles spéciales sur un répertoire et l'ensemble de ses sousrépertoires. Ces fichiers n'apparaissent pas dans l'arborescence du répertoire concerné si un internaute fait un accès à un répertoire listable (qui ne contient pas de page index, et dont le listage n'est pas interdit). Ce simple fichier texte vous permet d’ajuster finement certains paramètres de votre serveur Apache tels que les redirections, les réécritures d’URL, les redirections et les restrictions d’accès. Avec le protocole ftp, il est impératif de transférer le fichier .htaccess en mode texte et non en mode binaire, de manière à obtenir les caractères de fin de ligne appropriés au système d’exploitation du serveur. De même, l’édition en local devra se faire en mode texte. Cette puissance permet le meilleur comme le pire. Même si la syntaxe des règles du fichier .htaccess est souvent triviale, la moindre faute dans celles-ci se traduira le plus souvent par une « erreur 500 ». L’erreur 500 est une erreur interne au serveur, survenant le plus souvent lors de l’appel d’un module inexistant ou effectuant une opération illégale. L’une des utilisations les plus répandues de ce fichier est l’affichage d’une page 404 (page inexistante) personnalisée, beaucoup plus utile que celle procurée par défaut par votre navigateur favori. Votre hébergement permet-il son utilisation ? C’est, bien sûr, la première question à se poser. Elle ne fait malheureusement pas partie de celles auxquelles on peut répondre simplement. Si votre hébergement se fait sur un système Unix/Linux et que le serveur Web est de type Apache, le fichier .htaccess est supporté. Ceci ne veut malheureusement pas dire que votre hébergeur en autorise l’utilisation. Le plus souvent, les hébergements gratuits ont cette fonctionnalité désactivée. Si votre hébergeur vous permet de restreindre l’accès à certains de vos répertoires à l’aide d’un mot de passe, c’est en général à l’aide du fichier .htaccess, dans ce cas, tout va bien. De deux choses l’une : soit vous téléchargez votre fichier .htaccess et tout fonctionne comme vous l’espériez, soit cela ne fonctionne pas et au pire vous obtenez une "erreur 500". Dans ce cas, il ne vous reste plus qu’à retirer le fichier incriminé. Ce n’est pas bien dangereux, mais réservez vos essais à une période creuse. Le seul cas où un fichier .htaccess pourrait poser de réels problèmes est celui où le serveur utilise des extensions Microsoft FrontPage. Ces dernières utilisent le fichier .htaccess et son écrasement les empêcherait à jamais de fonctionner. Si vous n’aimez pas vivre dangereusement, le plus simple reste encore de demander à votre hébergeur ou à une connaissance ayant le même type d’hébergement que vous. 2 Pour effectuer vos tests, il est judicieux de créer un répertoire temporaire sur votre site, dans lequel vous mettrez un fichier index.html et le fichier .htaccess sur lequel vous travaillez. Une fois votre fichier .htaccess mis au point, déplacez le dans le répertoire que vous voulez protéger, ou à la racine de votre site. C’est supporté ? Bien ! Continuons ! Comment créer un fichier .htaccess Avant toutes choses, il faut arriver à créer ce fichier. Sous pratiquement tous les systèmes d’exploitation, cela se fait sans problème comme n’importe quel fichier texte. Windows peut toutefois ne pas accepter la création de ce fichier tel que souhaité. En effet, .htaccess est vu par Windows comme un fichier sans nom comportant une extension non standard. Si notepad ou votre éditeur favori ne vous permet pas d’enregistrer ce fichier avec le nom souhaité, sauvez-le comme htaccess.txt, vous le renommerez plus tard sur votre serveur à l’aide de votre logiciel de transfert ftp. Note : Sous windows, vous ne pouvez pas créer directement un fichier nommé .htaccess ou .htpasswd. Il vous suffit alors de le nommer autrement, de le transférer sur votre espace web, et de le renommer en .htaccess ou .htpasswd ensuite à l'aide de votre client FTP. Attention : Avec le protocole ftp, il est impératif de transférer le fichier .htaccess en mode texte et non en mode binaire, de manière à obtenir les caractères de fin de ligne appropriés au système d’exploitation du serveur. De même, l’édition en local devra se faire en mode texte. Une fois renommé, le fichier doit impérativement se nommer « .htaccess » (débutant par un point), sinon il sera sans effet. Que puis-je faire avec un fichier .htaccess ? Les deux éléments les plus intéressants concernent la protection des accès à votre site web. Ces deux éléments possèdent des guides séparés : - protection des accès à un répertoire via une authentification :: HtaccessProtection :: - empécher certaines adresses IP d'accéder à votre site :: HtaccessProtectIP :: Vous pouvez également effectuer d'autres opérations que nous allons détailler ci-dessous... Empécher le listage du contenu d'un répertoire Pour empécher les internautes de lister l'ensemble des fichiers contenus dans un répertoire en l'absence d'index (.cgi, .html, .php etc ....), créez un fichier .htaccess contenant la ligne cidessous : Options -Indexes Rediriger les messages d'erreur Si vous voulez utiliser des messages d'erreur personnalisés ou rediriger les erreurs sur une page web, créez un fichier .htaccess contenant des lignes de cette forme : ErrorDocument numéro_d_erreur message_ou_destination Remplacez "numéro_d_erreur" par le numéro correspondant. 3 Les 3 erreurs les plus courantes sont : 404 : page inexistante 403 : accès interdit 500 : erreur interne du serveur Remplacez "message_ou_destination" par l'action à effectuer. Pour afficher un simple message, tapez le message correspondant entre guillements. Pour rediriger sur une page, mettez le chemin d'accès à cette page. Voici deux exemples pour vous éclairer : Vous souhaitez indiquer "Désolé, vous n'avez pas le droit d'accéder à ce fichier" lors d'une erreur 403. Vous mettez la ligne ci-dessous dans votre .htaccess : ErrorDocument 403 "Désolé, vous n'avez pas le droit d'accéder à ce fichier" Vous souhaitez renvoyer les erreurs 404 sur votre page personnalisée 404.html (pour votre domaine : domaine.com) : ErrorDocument 404 http://www.domaine.com/404.php Si cela ne fonctionne pas verifiez que dans les proprietes d'Internet explorer vous avez -onglet Avancé -décocher "Afficher des messages d'erreur HTTP simplifiés". Spécifier un fichier d'index différent Par défaut, le fichier index d'un répertoire est index.html, index.htm ou index.php. Si vous voulez que ce soit un autre fichier, vous pouvez mettre une ligne de ce type dans votre .htaccess : DirectoryIndex nom_du_fichier Par exemple, si vous voulez utiliser la page accueil.html comme page d'index, utilisez la ligne suivante : DirectoryIndex accueil.html Faire de la réécriture d'URL Vous pouvez, pour des raisons diverses, souhaiter réécrire les URLs de votre site. Pour cela, vous pouvez utiliser un fichier .htaccess de la forme suivante : RewriteEngine on RewriteRule règle_de_réécriture Il suffit de remplacer "règle_de_réécriture" par la règle dont vous avez besoin. Vous pouvez bien sûr écrire plusieurs règles différentes dans un même fichier. Malheureusement, les possibilités sont trop nombreuses et les besoins trop diversifiés pour en faire le tour dans ce guide. Référezvous à la documentation officielle pour plus de détails: http://httpd.apache.org/docs/misc/rewriteguide.html[4] Pour les spécificités de mod_rewrite sur les hébergements OVH, vous pouvez également consulter ce guide: HtaccessModRewrite 4 Nous allons commencer notre découverte avec une fonctionnalité bien utile La page d’erreur « sur mesure » Comme tout internaute, vous avez déjà eu l’occasion de faire face à l’erreur la plus répandue, l’erreur 404. Cette erreur vient du fait que l’Internet est essentiellement mouvant, des millions de pages y apparaissent et disparaissent chaque jour. Si un de vos visiteurs décide de mettre en favori l’une de vos pages pour y revenir plus tard, rien ne lui garantit que cette page sera toujours accessible à sa prochaine visite. Vous pouvez à tout moment décider de la déplacer, de la renommer ou de la supprimer. C’est votre site, vous en avez le droit le plus absolu. Que se passera-t-il lors du retour de ce même visiteur ? C’est simple : son navigateur fera une requête pour la page souhaitée, requête à laquelle le serveur répondra « pas trouvé ». Dès la genèse du Web, les différents concepteurs ont bien intégré le fait que les utilisateurs seraient d’origines différents et qu’une page mentionnant ce laconique « pas trouvé » ne pourrait pas être exhaustive sur le plan linguistique. Ils ont donc défini des codes pour chaque type d’erreurs, laissant aux navigateurs le soin d’afficher le message dans la langue de l’utilisateur. D’où, dans ce cas précis, l’erreur communément appelée « erreur 404 ». Pour éviter à vos visiteurs cette page peu esthétique, une seule ligne suffit dans le fichier .htaccess : ErrorDocument 404 /mapage.html Dès ce moment, toutes les requêtes pour des pages inexistantes recevront en retour la page mapage.html. Si vous êtes prévoyant, cette page pourrait présenter un plan de votre site qui évitera à votre visiteur de se sentir seul et abandonné de tous. Il faut bien sûr que ce fichier « mapage.html » existe à la racine de votre site sinon votre serveur ne saura plus où donner de la tête. Ne souriez pas, c’est arrivé à l’auteur de ces lignes. D’une manière plus générale, l’instruction « ErrorDocument » s’écrit : ErrorDocument code-erreur fichier En plus de l’erreur 404, vous pouvez donc fournir des pages spécifiques pour les erreurs les plus fréquentes, par exemple : 401 400 403 500 - Autorisation Requise Mauvaise requête Interdit Erreur interne serveur La restriction d’accès par mot de passe Nous avons tous sur nos sites certains répertoires que nous souhaitons protéger des yeux indiscrets. Qu’il soit bien entendu ici, que la meilleure protection possible pour un document passe par la non publication sur le Web, quelle que soit le niveau de protection du serveur ou du répertoire. Ceci est encore plus vrai s’il s’agit d’un hébergement mutualisé dont la gestion est assurée par un organisme indépendant. Ne stockez donc pas sur votre serveur Web d’informations dont la divulgation pourrait vous pénaliser. Ces limitations étant exprimées, il est souvent utile ou dans certains cas indispensable d’avoir dans un répertoire des informations telles que le mot de passe d’accès à votre base de données ou les statistiques de fréquentation de votre serveur. 5 Dans le cadre des hébergements sur serveur Apache, il est aisé de soustraire certains répertoires à la curiosité du public. Cette fois encore, le fichier .htaccess est votre allié. Le mode opératoire en est simple et s’appuie sur un deuxième fichier qui contiendra les noms et mots de passe des personnes autorisées à accéder au contenu du répertoire. Dans le fichier .htaccess, saisissez les informations suivantes : AuthUserFile /home/login/.htpasswd AuthGroupFile /dev/null AuthName "Acces Restreint" AuthType Basic <Limit GET POST> require valid-user </Limit> Analysons de plus près ces quelques lignes : AuthUserFile /home/login/.htpasswd ou AuthUserFile /home/votre_login_ftp/www/'chemin d'accès au fichier .htpasswd'/.htpasswd donne le répertoire dans lequel se trouve le fichier contenant les paires login/mot de passe des visiteurs autorisés. Notez bien qu’il ne s’agit pas d’une URL, mais bien d’un chemin d’accès depuis la racine du serveur. L’usage veut que ce fichier soit souvent nommé .htpasswd, mais ce n’est pas du tout une obligation. Il est même conseillé d’utiliser un autre nom, le fichier sera d’autant plus difficile à trouver. Ne le mettez pas dans un répertoire qui fait partie du site mais placez-le plutôt en dehors de cette arborescence si vous en avez le choix. Dans le système d’exploitation Unix/Linux, tous les fichiers dont le nom commence par un point décimal sont des fichiers cachés. Attention : caché ne signifie pas invisible, mais signifie plutôt qu’ils n’apparaissent pas dans les commandes les plus fréquentes si leur affichage n’est pas spécifiquement demandé. AuthGroupFile /dev/null permet de donner un droit d’accès à un ensemble d’utilisateurs faisant partie d’un même groupe et est rarement utilisée dans le cas de sites Web personnels. Dans l’exemple, le fichier « /dev/null » est l’équivalent Unix de « nulle-part » ou « pas de fichier spécifique » AuthName "Acces Restreint" est la chaîne de caractère qui apparaîtra dans la boîte de dialogue au moment de la saisie du nom et du mot de passe. AuthType Basic détermine le type d’authentification utilisé, dans notre cas l’authentification HTTP standard. <limit GET POST> ... </limit> 6 détermine le type d’opérations permises. GET s’applique à la majorité des pages Web, PUT est utilisé par certains scripts ou éditeurs pour faire de l’upload sous protocole http. Il est important de mettre GET et POST en majuscule sur les dernières versions d’Apache. require valid-user signifie littéralement qu’un utilisateur valide est requis, à savoir un utilisateur pour le nom duquel une ligne existe dans le fichier .htpasswd. Une variante pourrait être : require user pierre paul pour limiter l’accès aux seuls utilisateurs pierre et paul Par défaut, Apache applique les restrictions du fichier .htaccess à l'ensemble des fichiers du répertoire dans lequel il se trouve ainsi qu'à tous les fichiers contenus dans ses sous-répertoires. Pour bloquer l'accés à un ou plusieurs fichiers précis et non pas à tout le répertoire, il suffit d'ajouter les balises (une balise FILES par fichier): <Files test.php> AuthUserFile /home/votre_login_ftp/www/'chemin d'accès au fichier .htpasswd'/.htpasswd AuthGroupFile /dev/null AuthName "Accès Restreint" AuthType basic <Limit GET POST> require valid-user </Limit> </Files> Il faut utiliser une seule balise <Files> par fichier. Sinon, l'erreur suivante est reportée dans le fichier de log des erreurs : .htaccess: Multiple arguments not (yet) supported. Pour info, il faut ajouter que depuis Apache 1.3, il est conseillé d'utiliser la balise <FilesMatch> à la place de la balise <Files>. Cette nouvelle balise ne supporte aussi qu'un seul argument. Le fichier .htpasswd Ce fichier contiendra la liste des utilisateurs ayant le droit de se connecter, et le mot de passe qui leur est associé. Il sera ensuite utilisé par le fichier .htaccess. Il s'agit d'un fichier texte simple, à l'intérieur duquel sont indiqués les noms des utilisateurs et leur mot de passe sous forme cryptée, par exemple « pierre :saqKFoHV4rU.E » Le fichier .htpasswd ne doit pas forcément être au même endroit que le fichier .htaccess. Vous pouvez par exemple le placer à la racine de votre hébergement, et l'utilisez pour protéger différents répertoires de votre site, étant donné qu'un seul fichier .htpasswd peut être utilisé par plusieurs fichiers .htaccess. Le fichier .htpasswd doit contenir une ligne par utilisateur précisant le nom d'utilisateur et le mot de passe associé. Ces lignes sont de la forme suivante : 7 utilisateur:mot_de_passe_crypté Pensez a mettre un retour chariot a la suite du mot de passe crypté. La seule difficulté, pour autant que c’en soit une, étant de crypter le mot de passe. Si vous avez accès a un shell Unix/Linux utilisez la commande : htpasswd -c passwdfile username Dans cette commande, « passwdfile » représente le chemin complet du fichier mot de passe souhaité, « username » est le nom de l’utilisateur. Si vous n’avez pas accès à cette commande, vous trouverez un programme pour encoder vos mots de passe à l’adresse suivante : http://www.webmaster-hub.com/publication/Le-fichier-htaccess.html (en bas de page) Voici comment encrypter votre mot de passe (algorithme DES avec clé) : Nom: Mot de passe: Clé: Crypter La clé de deux caractères demandée permet de diversifier les mots de passe générés. Ces deux caractères constituent ce qu’on appelle le "sel" (salt) de l’encryptage. Vous voilà en mesure de restreindre l’accès à vos répertoires privés ou, pourquoi pas, de créer des répertoires réservés aux copains ou aux membres de votre famille. Après avoir rempli les deux premiers champs et cliqué sur "crypter", vous récupérerez la forme crypté du mot de passe dans le champs "Le mot crypté". Il faudra copier le texte correspondant dans le fichier .htpasswd Un autre programme se trouve sur ovh : http://www.ovh.com/cgi-bin/crypt.pl Vous avez déplacé vos pages ? Il est parfois nécessaire de déplacer certaines pages ou répertoires d’un site dans l’optique d’une restructuration. Ceci ne va pas sans poser quelques problèmes inhérents au changement d’adresse : la page n’est plus accessible pour les visiteurs qui l’ont mise dans leurs favoris. les références à cette page dans les moteurs de recherche et annuaires pointent vers l’ancienne adresse. Dans ces deux cas de figure, plutôt que de présenter une page d’erreur personnalisée au visiteur, il est beaucoup plus élégant de le rediriger automatiquement vers la nouvelle adresse. Ici encore, le fichier .htaccess nous sera précieux. 8 Pour déplacer une page : RedirectPermanent ancien.html http://www.domaine.tld/nouveau.html Cette directive signale au navigateur que la page ancien.html a été renommée nouveau.html et renvoie l’entête correcte au navigateur pour signaler ce fait (entête 301 "déplacement permanent"). L’avantage de cette approche est que les robots d’indexation des différents moteurs apprendront que cette page a été déplacée et modifieront leur index pour refléter la nouvelle adresse. Dans le cas de Google, le PageRank ( Indice de mesure de popularité d’une page utilisé par Google et noté sur une échelle de 0 à 10.) de l’ancienne page sera automatiquement transmis à la nouvelle page. Pour déplacer un répertoire : RedirectPermanent /ancien http://www.domaine.tld/nouveau/ Il est important de noter que dans le cas d’utilisation de la directive RedirectPermanent, la nouvelle adresse de page ou de répertoire doit être une URL complète. Pour changer de nom de domaine : RedirectPermanent / http://www.nouveaudomaine.tld/ redirigera la racine de l’ancien site vers le nouveau domaine. Note : Seuls les moteurs de recherche ajusteront leur index pour refléter la nouvelle adresse. N’oubliez pas de demander aux annuaires de modifier leurs liens vers vos pages. Comment bloquer certaines IP au niveau de mon site ? Procédure à suivre Il vous suffit de créer un fichier nommé .htaccess et de le placer dans le répertoire www (ou dans un repertoire répertoire particulier que vous souhaitez restreindre). Ce fichier devra contenir des règles de blocage. Chaque règle est définie sur une ligne de la forme suivante : Deny from adresse_IP Ou Deny from plage_IP Ou Deny from domaine Il vous suffit ensuite de remplacer le terme générique par l'élément que vous voulez bloquer. Voici quelques exemples : Vous souhaitez bloquer l'adresse IP 192.168.1.2, vous écrivez : Deny from 192.168.1.2 Vous souhaitez bloquer toutes les IP en 192.168.x.x, vous écrivez : Deny from 192.168 9 Vous souhaitez bloquer toutes les adresses IP qui ont une identification Wanadoo (c'est un exemple, il n'y pas de raison de le faire à priori...), vous écrivez : Deny from .wanadoo.fr Gérer les types de fichiers Un type MIME (en anglais MIME type) est un ensemble de types de fichiers standard, permettant d'associer une extension de fichier donnée à une application, afin d'automatiser le lancement de l'application. Ajouter un Mime-Type à un répertoire La syntaxe est la suivante : AddType (mime/type [liste d'extension]) Voici un exemple de mise en oeuvre du fichier .htaccess : AddType image/x-photoshop PSD AddType application/x-httpd-php .php3 AddType application/x-httpd-php .htm Le serveur enverra au navigateur Internet le fichier en lui disant de lancer le programme PhotoShop (s'il est installé sur votre machine) et de lui donner le fichier. Habituellement, ceci est utilisé pour des fichiers nécessitant un Plug-In particulier non reconnu par votre navigateur. Cette commande permet aussi d'annuler tout élément prédéfini. Ainsi, vous pouvez enregistrer un fichier .wav avec une extension .gif et préciser au navigateur de considérer les fichiers .gif comme des fichiers audio ! En pratique, on pourra donc utiliser cette commande pour ordonner à PHP de parser d'autres extensions de fichier, .htm par exemple. Forcer tous les fichiers d'un répertoire à un Mime-Type Voici la syntaxe à adopter : ForceType (mime/type) Par exemple avec la ligne suivante, tous les fichiers du répertoire contenant le fichier .htaccess seront considérés comme étant des fichiers .jpg quelle que soit leur extension : ForceType image/jpg Note aux utilisateurs FrontPage Lorsque les extensions FrontPage sont installées, un fichier .htaccess est créé à la racine du site. Il faut donc être très prudent et éviter d’écraser ce fichier, faute de quoi les extensions FrontPage ne fonctionneraient plus sur votre site. De même, avant toute modification, une sauvegarde du fichier originel est utile, car toute erreur dans ce fichier pourrait rendre l’entièreté de votre site inaccessible. Sur cette page Web, vous pouvez générer via un simple formulaire les instructions les plus souvent utilisées à mettre dans votre fichier HTaccess: 10 http://aspirine.org/htaccess.html Note aux utilisateurs FrontPage Lorsque les extensions FrontPage sont installées, un fichier .htaccess est créé à la racine du site. Il faut donc être très prudent et éviter d’écraser ce fichier, faute de quoi les extensions FrontPage ne fonctionneraient plus sur votre site. De même, avant toute modification, une sauvegarde du fichier originel est utile, car toute erreur dans ce fichier pourrait rendre l’entièreté de votre site inaccessible. Sur cette page vous pouvez générer les instructions à mettre dans votre fichier HTaccess via un formulaire : http://aspirine.org/htaccess.html Références http://help.ovh.com/HtaccessOther http://guide.ovh.com/HtaccessAutre http://www.domaine.com/404.php http://httpd.apache.org/docs/misc/rewriteguide.html http://www.infres.enst.fr/~danzart/frames/htaccess.html http://www.commentcamarche.net/apache/apacht.php3 11