Configuration Apache en Intranet

par **Danjos** » 21 Sep 2007 13:46

Le test avec nslookup me donne les resultats que voici:

Note: nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead. Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
> mondomaine
Server: 192.168.2.10
Address: 192.168.2.10#53

Name: mondomaine
Address: 192.168.2.10
> localhost
Server: 192.168.2.10
Address: 192.168.2.10#53

Name: localhost
Address: 127.0.0.1
>

Je voudrais aussi signifié que le serveur est connecté à un routeur, qui lui a l'adresse 192.168.2.1.

Dans ma première configuration, j'arrivais à apercevoir la page de test d'Apache dans le navigateur quand je tape [i]http: //localhost/ [i dans l'URL ]avec cette même config de DNS.
Mais j'ai fait une nouvelle config du serveur Apache par mode graphique selon les instructions du site [url]http://web.mit.edu/rhel-doc/3/rhel-sag-fr-3/index.html
[/url]. Ces après cela que le message Forbiddenn...(indiqué dans le message précédent) s'est affiché.
J'ai alors réinstallé Apache, après avoir désinstallé le précedent mais le mème message s'affiche. Voici ma nouvelle configuration d'Apache:

Contenu du fichier httpd.conf:

ServerTokens OS
ServerRoot "/etc/httpd"
Listen 0.0.0.0:80
Include conf.d/*.conf
User nobody
Group nobody
ServerAdmin root@localhost
ServerName 192.168.2.10
UseCanonicalName Off

#
DocumentRoot "/home/Danjos/html"

<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>

# This should be changed to whatever you set DocumentRoot to.
#
<Directory "/home/Danjos/html">

Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all

</Directory>

AccessFileName .htaccess
ServerSignature On

par **jdh** » 21 Sep 2007 13:59

Quelle logique ???

Le message d'erreur est DIRECTEMENT lié à la configuration Apache (httpd.conf directives allow/deny)
Et on lit la conf de DNS !

NB Concernant la conf DNS
Les lignes "@ IN NS comserveur" et "@ IN NS comserveur.mondomaine." du fichier mondomaine sont en doublon puisqu'équivalente !!! (du fait du . absent de la première ligne !)

Pourquoi 2 fichiers de zones ?

SURTOUT pourquoi un dns sur ce serveur ? (en sus d'un dns local)

par **Danjos** » 21 Sep 2007 14:11

Merci Jdh pour ton intérêt!
J'ai mis à la suite de cette configuration de DNS le contenu du fichier httpd.conf.
En fait, cette configuration est celle que j'ai faite pour le DNS local. J'ai cru utile la metrre, je ne savais pas que :?:

elle n'était pas utile pour la circonstance.

J'èspère que je suis plus précis avec ce contenu de mon httpd.conf

Merci aussi pour les erreurs décélées dans les fichiers du DNS je les corrigerai.
Mais s'agissant dees fichiers mondomaine et mondomaine.rev, pouvait-on éviter de faire deux fichiers en ne faisant qu'un seul? J'ai pas trouvé mieux :cry:

Merci encore pour ta suivi.

par **jdh** » 22 Sep 2007 00:25

Config dns :

Le fichier mondomaine décrit la zone "mondomaine" (ce qui est déjà curieux car généralement on utilise un TLD type mondomaine.org ou mondomaine.local).
Le fichier modomaine.rev décrit la zone reverse. Pourquoi ne pas l'appeler plutôt "192.168.2.db".

Pourquoi créer localement un serveur dns ? S'il existe un autre serveur dns dans le réseau, nul besoin d'en ajouter un sur le serveur Apache !

Config apache :

Merci d'enlever les 80% de lignes totalement inutiles à la question.

Les lignes importantes sont "Document root" et la section correspondante avec ses lignes "order", "deny" "allow". Peut-être faut il aussi une ligne deny ?

par **Danjos** » 24 Sep 2007 10:54

Merci Jdh pour tes différentes corrections sur le DNS,. Comme quoi, ça n'a pas vraiment été inutile pour moi de le montrer

Merci pour la configuration du Apache. J'ai enlevé les lignes inutiles comme tu me l'a conseillé, toutefois j'ai laissé d'autres au cas où :?:

J'étudierai aussi minutieusement ces lignes que tu m'a demandées.

Merci et à bientôt!

par **Danjos** » 24 Sep 2007 14:20

J'avance progressivement, et ce par toutes vos aides.
J'ai fait un chmod 777 sur le dossier indiqué par le DocumentRoot.
J'arrive maintenant à accéder sur la page de test d'Apache sous RedHat.

Mais on arrive toujours pas à accéder à cette page via un autre poste client quoique le ping marche.
Et la page d'erreur afficher dans le navigateur quand on saisit L'ADRESSE Ip du serveur est le fameux:

Impossible d'afficher la page
...

Je continue toujours les recherches sur la place des:

Order Allow, Deny
Allow from all

Et quelles modifications à y faire pour que tout marche.
Merci Jdh et Jibe! Et aussi à tout ce que qui s'interesse à mon problème!

par **Danjos** » 26 Sep 2007 18:25

Pour une simulation du fonctionnement d'Asterisk et bla bla bla, le serveur a été formaté.
Je dois reprendre toutes mes config lorsque tout ça sera fini. : cry: :cry:

A plus tard donc pour la suite de la configuration Apache. : :roll:

Parallèlement, je continue les recherches; et vous tiendraii informer dès qu'une solution sera trouvée :idea:

par **Danjos** » 28 Sep 2007 20:38

Ouaooh!!!J'ai enfin résolu le problème. Voici ce que je fais:
- Préalablement une nouvelle installation de Fedora Core 6 a été effectuée sur le serveur.
- J'ai désactivé le pare-feu sur l'interface réseau utilisé par la connexion au réseau
- J'ai désactivé SElinux sur le serveur
- J'ai accoordé les droits accès au dossier indiqué par DocumentRoot avec chmod 777.

Merci à tous ceux qui ont accordé un intérêt à mon problème et surtout à jdh et jibe!!!

Vive le forum Ixus! :up:

par **Muzo** » 01 Oct 2007 11:28

En gros, tu as baissé la culotte du serveur, et tu lui as mis un peu de vaseline au rectum.

Sérieusement, tu viens de prendre la solution de facilité, la moins sécurisée.

Danjos a écrit:- J'ai désactivé le pare-feu sur l'interface réseau utilisé par la connexion au réseau

euh et si tu avais regardé pour autorisé ce port sur la machine?

Danjos a écrit:- J'ai désactivé SElinux sur le serveur

Bravo, lis d'abord ceci: http://fr.wikipedia.org/wiki/SELinux
Il faut peut être donné un rôle à ton serveur et lui accorder des droits (très restrints)

Danjos a écrit:- J'ai accoordé les droits accès au dossier indiqué par DocumentRoot avec chmod 777.

Tu as donnés tous les droits au répertoire, en gros si un vilain méchant h4x0r arrive dans ce répertoire, il peut tout faire (défacing, ...) et en plus il peut compromettre ta machine.

Désolé de te refroidir, mais étant donné que nous sommes sur un forum de sécurité, je me devais te prévenir.

/Muzo

par **Danjos** » 02 Oct 2007 17:56

Merci Muzo!
J'aviserai.
Que me conseillerais-tu alors pour le pare-feu. Apparemment, il est impossible d'accéder par intranet au serveur quand celui-ci y est activé.
Pour SELinux, je continue de comprendre.
Concernant le dossier du DocumentRoot, j'ai fait maintenant le chmod 755. Est ce suffisant pour la sécurité?
Merci encore!

par **Danjos** » 04 Oct 2007 14:36

Bonjour!
Je voudrais encore te renouveller mes remerciements Muzo pour m'avoir montrer que la solution que j'avais trouvé n'en étais pas, vu que je fragilisais lénormément a sécurité du serveur. Finalement, j'ai revu tout ceci. Et j'ai trouvé une solution qui fonctionne bien. La voici:
- J'ai réactivé SELinux en mode Strict
- J'ai réactivé le parefeu et j'ai coché dans sa config la case http comme service de confiance
- J'ai mis DocumentRoot à 755 comme mode d'accès
Et tout cela fonctionne bien.
Suis-je hors de danger?

Merci à tous pour votre intérêt! :oops:

par **Muzo** » 04 Oct 2007 17:41

C'est mieux

Continue comme ca.

Par contre, hors de danger? Certainement pas, à partir du moment ou tu exposes un serveur sur le net, tu es en danger (failles de sécu de l'OS, des logiciels, ...). La sécurité 0 n'existe pas.