[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Comment empêcher les accès direct /var/www/vhost?

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 23/10/2011 10:20, Olivier Pavilla a écrit :
> Commet empêcher les curieux d'aller direct dans 
> /var/www/blog.dumpsize.com/galleries?

À vu de nez, tu sembles utiliser du VirtualDocumentRoot
Et donc
– Toute adresse IP routée sur ta machine y compris celles que tu ne
maîtrises pas (DNS de l'ancien propriétaire du serveur…)
— N'importe quel client un peu malin qui enverrait un « Host » délirant
dans sa requête HTTP
conduira à un accès à « /var/www/vhost/host.demandé »

Exemble à la con :
	telnet mon.joli.serveur http
	GET / HTTP/1.1
	Host: hote.totalement.inconnu

	HTTP/1.1 404 Not Found
Et dans les logs
	[Sun Oct 23 16:05:06 2011] [error] [client 127.0.0.1] File does not
exist: /var/www/vhost/hote.totalement.inconnu

C'est le problème du VirtualDocumentRoot, on simplifie la vie de l'admin
en autorisant la réponse à de nouveaux domaines à chaud plutôt que de
créer X configurations dans « sites-enabled », mais du coup le serveur
se met à répondre à tout ce qui passe !

- -- 
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOpCSvAAoJEK8zQvxDY4P9PxsH/3kizflCcn+gnB2s9soDtLGv
gZg/zCG/9AltwkcK/qKBMp592S+t0LQq3EkVZp9NO5iaT3rZOYdEI5lGAIjSXwjs
G40QeDPddxIwphC9cyC0ggcSmmm763UhWF1/iNbcQUOvWhg8ljSAZcny7R4iitKw
0WkFGFNgZMM9Qepie0kZKXINVc5UQ547kzJFL1/ln7a38TpjsLTjAXLuBFEyRZEb
D+uuyLHojZyIopnH8sPeP7ii4w+R9Ss2ieVcrUm7VNfG54Z6gTo8tczXEllXD7Ro
daz8W+cJl/HTbM0OSSdT9hBTsi5Dr2BOUTJGrXrUim6fL6zYEIVyonhfcABDL2A=
=P38J
-----END PGP SIGNATURE-----
Reply to: