Re: Comment empêcher les accès direct /var/www/vhost?

To: debian-user-french@lists.debian.org
Subject: Re: Comment empêcher les accès direct /var/www/vhost?
From: Aéris <aeris@imirhil.fr>
Date: Sun, 23 Oct 2011 16:09:12 +0200
Message-id: <[🔎] 4ea42008$0$27974$426a74cc@news.free.fr>
In-reply-to: <hP1rH-3OK-7@gated-at.bofh.it>
References: <[🔎] 4EA3C545.2050807@linux-squad.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 23/10/2011 10:20, Olivier Pavilla a écrit :
> Commet empêcher les curieux d'aller direct dans
> /var/www/blog.dumpsize.com/galleries?

À vu de nez, tu sembles utiliser du VirtualDocumentRoot
Et donc
– Toute adresse IP routée sur ta machine y compris celles que tu ne
maîtrises pas (DNS de l'ancien propriétaire du serveur…)
— N'importe quel client un peu malin qui enverrait un « Host » délirant
dans sa requête HTTP
conduira à un accès à « /var/www/vhost/host.demandé »

Exemble à la con :
	telnet mon.joli.serveur http
	GET / HTTP/1.1
	Host: hote.totalement.inconnu

	HTTP/1.1 404 Not Found
Et dans les logs
	[Sun Oct 23 16:05:06 2011] [error] [client 127.0.0.1] File does not
exist: /var/www/vhost/hote.totalement.inconnu

C'est le problème du VirtualDocumentRoot, on simplifie la vie de l'admin
en autorisant la réponse à de nouveaux domaines à chaud plutôt que de
créer X configurations dans « sites-enabled », mais du coup le serveur
se met à répondre à tout ce qui passe !

- -- 
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOpCAHAAoJEK8zQvxDY4P9T2YH/jhOhrrZ5yoqcKpuiHfUyxKq
2SM1QqVkSMeicHwb0d+VsKCJbnrDA1dAdlytUNj3DVw3tgYjhbfEHM0sJXZyH/Uk
PPU6TJf91phjhA+VEM4g2nMS2YRkjktuKAXFEPXlpO73cWfTuOoNO81AyvaA7W3E
tvnGsgHyShigXG5ry3yYkxCxU7c34toMylNMG2JkhG+uJXjrYIv0eLJcVVV7yJWP
FpIgFynpRf24PQsVUoLshjp2DZyilu3MQOFoezY5u3V64QbzCotPlfpAwB+WSJBG
ImuesqDqcOgaxjQV3GYjlQMFTlw05S/8lD6TdO8vG83D3dD7cxv1UhSS6bR/CR8=
=GnxL
-----END PGP SIGNATURE-----

Reply to:

Follow-Ups:
- Re: Comment empêcher les accès direct /var/www/vhost?
  - From: Olivier Pavilla <olivier.pavilla@linux-squad.com>

References:
- Comment empêcher les accès direct /var/www/vhost?
  - From: Olivier Pavilla <olivier.pavilla@linux-squad.com>

Prev by Date: Re: http://www.education.gouv.fr, Firefox et Java
Next by Date: Re: http://www.education.gouv.fr, Firefox et Java
Previous by thread: Re: Comment empêcher les accès direct /var/www/vhost?
Next by thread: Re: Comment empêcher les accès direct /var/www/vhost?
Index(es):
- Date
- Thread