[Résolu] Re: Apache2, site default encore desservi après désactivation

[Francois Lafont <mathsattacks@free.fr>]

Le 14/12/2013 20:56, Bzzz a écrit :

>> C'est quoi le "serveur principal" ?
>> J'ai compris la notion de serveur par défaut (celui sur lequel
>> on tombe quand rien de matche) mais la notion de "serveur
>> principal", je ne vois pas.
> 
> D'après
> http://www.linux-france.org/prj/edu/archinet/systeme/ch16s02.html
> c'est 'default'.

Non.

En fait, après quelques recherches, je crois avoir compris ce
qu'est ce fameux "site principal" et ça tombe bien parce c'est
justement la clé de mon problème et je crois bien que la chose
est résolue.

En fait, le "site principal" est le site qui dessert les pages
données par la directive DocumentRoot ***dans le contexte
global***. En effet, cette directe se trouve en général
dans le contexte d'un vhost (comme dans le site "default"
par exemple), mais elle existe aussi dans le contexte
global (en dehors d'un vhost). Même si, dans la conf par
défaut proposée par Debian, cette directive n'est pas présente
dans le contexte global, elle l'est quand implicitement avec
une valeur par défaut, valeur qui dépend de la manière dont
l'appli a été compilée.

Or, je vous le donne en mille : entre Squeeze et Wheezy, cette
valeur par défaut a changé. On peut le voir dans les sources
du paquet. Dans la version Wheezy, il y a un joli patch
/debian/patches/010_fhs_compliance qui, comme par hasard,
ne se trouve pas dans les sources du paquet pour Squeeze.
Et dans ce patche, on peut lire :

 /* Set default for non OS/2 file system */
-#define DOCUMENT_LOCATION  HTTPD_ROOT "/htdocs"
+#define DOCUMENT_LOCATION  "/var/www"

À cela, s'ajoute l'élément suivant : sans vhost, c'est le
serveur principal qui prend la main. Avec au moins un
vhost, le serveur principal est « masqué » (non desservi
en somme) si l'ip de destination de la requête est une
ip indiquée par les directives NameVirtualHost de la
conf.

Voilà le fin mot de l'histoire.

>> Ça veut juste dire qu'il faut bien prendre la peine de
>> définir un site par défaut qui attraper tout ce qui
>> ne s'adressera pas aux vhosts qu'on a définis.
> 
> C'est (en partie) là que nous ne sommes plus d'accord,

Stop. Je t'arrête tout de suite dans cette voie là.

Je ne cherche pas à débattre avec toi, ni à te convaincre
de quoi que ce soit. Je cherche juste à **comprendre** le
mécanisme de fonctionnement d'Apache, c'est tout.

Est-ce que ce mécanisme est bien, mal etc. n'est vraiment
pas mon propos ici, je m'en cogne complètement ic. Et
honnêtement, je ne sais pas trop pourquoi tu tiens tant
à aller dans cette direction qui ne fait vraiment pas
avancer le schmilblick. Mais bon, maintenant que le fil
est résolu c'est pas très grave.

Il n'y a que 2 éléments où je n'étais pas d'accord avec toi :

- quand tu me parlais de index.html etc. alors que ça n'avait
rien à voir avec le sujet;

- lorsque tu disais que je me trompais sur le mécanisme du
choix du vhost desservi par apache2 alors que j'avais raison.

Tu vois, juste des choses purement factuelles donc.
Pour le reste, je te laisse continuer tout seul.

> un peu comme la policy par défaut  d'un firewall.
> Pour ma part , je préfère (et de loin) le tout interdit
> et on ne laisse passer que ce dont on a besoin, au on 
> laisse tout passer et on interdit le cas échéant.
>
> Te coller une ouverture sur "un site par défaut" me 
> semble un manque flagrant de liberté autant qu'un
> risque de sécurité si tu ne le sais pas.
>
> Sans compter que
> http://httpd.apache.org/docs/current/fr/suexec.html
> dans la Sion "Utilisation de suEXEC" indique que si
> tu n'as pas de directive 'SuexecUserGroup' , ce sont
> les droits par défaut dudit 'server Pal' qui sont
> utilisés (et s'il n'est pas présent, ce sont les droits
> de root???)
> 
> Comprenons nous bien, je me tape que tu t'accroches à
> apache2 comme un perdu 

Là, en revanche, je réagis (forcément).

Par « tu t'accroches à apache2 comme un perdu », je ne sais
pas trop ce que tu veux dire. Je m'accroche à essayer
de comprendre le fonctionnement d'Apache2. C'est plutôt
une bonne chose, non ?

Après, vouloir comprendre une techno est une chose, la
défendre coûte que coûte en est une autre. Je suis juste
dans le premier cas. Le reste encore une fois, je m'en
cogne (dans ce fil là en tout cas). Et au final, dans
la compréhension d'Apache2, j'ai l'impression d'être
un peu moins perdu que toi. ;-)

> ce que je conteste (entre autres)
> c'est qu'il impose le passage par un 'server Pal' obligatoire.

Avant de contester une chose, j'aime bien la comprendre.
Et manifestement, au moment où tu as écrit ces lignes,
tu ne savais pas ce qu'était un serveur principal. Bon, moi
non plus à ce moment là, hein, mais je ne contestais rien
en revanche, je cherchais juste à avancer, à être constructif
et à résoudre un problème.

> (un peu comme si ton garagiste exigeait d'être payé en
> avance, uniquement en cash et en coupures de €5).

Ben moi je dis qu'entre tes messages où tu pigeais pas
le problème et ceux où tu contestais des trucs complètement
HS sur la base d'éléments mal compris, t'as bien pollué ce
fil inutilement... mais bon le problème est résolu et c'est
le plus important.

-- 
François Lafont