|

Protéger l'accès à vos dossiers

Il est parfois nécessaire de protéger l'accès à un répertoire sur un serveur web (ex : répertoire d'administration, contenant des données sensibles) afin d'éviter que n'importe qui puisse y accéder.

Il y a différentes méthodes, ont peut avoir recourt à des langages comme le PHP, ASP, PERL, mais la méthode la plus simple est d'utiliser le mécanisme de protection d'Apache.

C'est-à-dire effectuer une protection à l'aide des fichiers .htaccess et .htpasswd.
On estime ici que l'on n'a pas accès au fichier de configuration http.conf, ce qui est le cas chez un fournisseur d'accès.

Le fichier .htaccess est un fichier texte contenant des commandes Apache.

AuthUserFile /home/login/admin/.htpasswd
AuthGroupFile /dev/null
AuthName "Veuillez vous identifier"
AuthType Basic

 <Limit GET POST>
 require valid-user
 </Limit>

Quelques explications :

AuthUserFile : C'est le nom et le chemin d'accès du fichier qui contiendra les noms des utilisateurs et les mots de passe associés. Ce chemin doit partir de la racine du site.

Ici, les mots de passe seront dans /home/login/admin/.htpasswd.

On peut, et il est même conseillé de choisir un autre nom que .htpasswd pour le fichier qui contiendra le couple utilisateur/mot de passe. Le point précédent le nom de fichier permettra de cacher (au sens Unix/linux du terme).
Il est également recommandé de mettre le fichier des mots de passe en dehors de l'arborescence du site si l'on en a la possibilité.

AuthGroupFile : Permet de définir un droit d'accès à un groupe d'utilisateur. Cette solution n'est que rarement utilisée pour un site Web. Le reste du temps il pointe vers /dev/null. Il faut que cette ligne soit présente.

AuthName : C'est le texte qui apparaîtra dans la fenêtre demandant le mot de passe.

AuthType : L'authentification est en générale « basic ». Les mots de passe sont alors envoyés en clair sur le réseau. Pour sécuriser davantage l'accès, on peut utiliser la méthode d'authentification « digest » qui crypte les mots de passe en MD5 . Ce système n'est supporté que par certains navigateurs.

Limit : C'est ici qu'on va indiquer ce qui est autorisé et interdit dans le répertoire. Les commandes GET et POST indiquent la récupération de pages web et la réponse à certains formulaires. POST est utilisé pour autoriser l'upload de fichiers sous le protocole http.

Require valid-user : Accepte tous les utilisateurs qui ont un login : mot de passe dans .htpasswd.

Require herve jacques : Limite l'accès à un ou plusieurs utilisateurs précis, ici herve et jacques. A noter que les utilisateurs sont séparés par des espaces.

Une fois le fichier .htaccess créé, il faut le placer dans le répertoire à protéger.

Maintenant il nous faut créer le fichier .htpasswd
Sous unix/linux il existe un l'utilitaire : htpasswd.

htpasswd -c .htpasswd herve

Après validation Linux vous demande un mot de passe, puis une deuxième fois pour confirmation.
Si l'on édite le fichier .htpasswd obtient une ligne du style :

herve:x3l0HLu5v6mOF

Ce qui correspond au nom d'utilisateur (login) et son mot de passe crypté. Il y aura une ligne pour chaque utilisateur.
Le fichier .htpasswd étant terminé, il suffit de le mettre à ça place (celle définie dans le fichier .htaccess).

[0] commentaire - Voir/Editer

|