hello.
 
Je cherche une solution pour securiser mon appli web. J'ai donc une petite question concernant htpasswd : est ce qu'on peut l'utiliser avec un serveur https ? Je demande ça car j'ai créé quelques users et configuré Apache pour que mon rep cgi-bin ne soit accessible qu'a ces users mais pourtant je n'ai pas a rentrer de user/pass pour acceder a mes scripts CGI...  
 
Apache tourne avec mod_ssl et n'accepte que les connexions securisées (uniquement sur le port 443).
 
Autre question : le niveau de securité est il suffisant avec ce systeme ?
 
hihi
 
PS : je suis une extra-newbie question securité et franchement je suis legerement largué...

[jfdsdjhfuetppo]--Message édité par impulse le 07-05-2002 à 14:35:09--[/jfdsdjhfuetppo]

Euh en fait meme si je lance un serveur non securisé ça marche pas... Je capte pas bien la...
 
J'ai crée un fichier /opt/apache/data/users grace a htpasswd avec 2-3 users dedans, ensuite j'ai modifié mon /opt/apache/conf/httpd.conf en mettant un AllowOverride AuthConfig et finalement j'ai créé un fichier .htaccess dans mon rep /opt/apache/cgi-bin qui contient ceci :
 
AuthName "restricted stuff"
AuthType Basic
AuthUserFile /opt/apache/data/users
 
require valid-user
 
Qu'est ce qui ne va pas ? Le browser est pas sensé me demander mon user/pass quand j'essaye d'acceder a /opt/apache/cgi-bin/toto.cgi par exemple ?
 
Y'a bien qqun qui sait ça, non ?
 
hihi

hihi

 

 
... mais la je suis pas trop hihi en ce moment... ça me gave Perl/CGI/Apache/SSL/SSH et cie !!!!!!
 
hihi

Pendant que j'y suis : j'ai un autre probleme avec Apache => quand je veux utiliser mod_perl j'ai ceci dans mon error.log :
 
Apache.pm failed to load!
 
pourtant Perl est bien declaré ds mon path et $PERL5LIB pointe bien vers le rep qui contient les librairies de mod_perl...
 

Personne utilise Apache ? Vous tournez tous avec le serveur de Microsoft ? J'ai remarqué que mes topics sur Apache ne sont pas tres populaires...
 

fabriceMerc a écrit a écrit : hihi

 
héhé

impulse a écrit a écrit : hello.   Je cherche une solution pour securiser mon appli web. J'ai donc une petite question concernant htpasswd : est ce qu'on peut l'utiliser avec un serveur https ? Je demande ça car j'ai créé quelques users et configuré Apache pour que mon rep cgi-bin ne soit accessible qu'a ces users mais pourtant je n'ai pas a rentrer de user/pass pour acceder a mes scripts CGI...     Apache tourne avec mod_ssl et n'accepte que les connexions securisées (uniquement sur le port 443).   Autre question : le niveau de securité est il suffisant avec ce systeme ?   hihi   PS : je suis une extra-newbie question securité et franchement je suis legerement largué...

 
pour qu'Apache prenne en compte les .htaccess dans les repertoires , il faut le preciser  
 
si la racine de ton web (document_root) est /web , il faut le preciser dans la partie concernée dans httpd.conf avec un  
 
AllowOverride AuthConfig
 
et un peu plus loin ya une partie  
 
AccessFileName .htaccess  
 
quant à l'interaction qu'il peut y avoir via du ssl , aucune idée.   Fait deja le test dans une situation classique voir si ca fonctionne , ensuite tu passeras à l'etape suivante ?

[jfdsdjhfuetppo]--Message édité par kinetik le 07-05-2002 à 15:48:51--[/jfdsdjhfuetppo]

...
 
AllowOverride AuthConfig => c'est fait
AccessFileName .htaccess => c'est fait aussi...
 
je l'ai precisé ds mon 2eme post
 

[jfdsdjhfuetppo]--Message édité par impulse le 07-05-2002 à 16:04:27--[/jfdsdjhfuetppo]

oops ! 'lu trop vite.
 
un .htaccess chez moi sinon apres j'ai plus trop d'idées.
 
AuthType basic
AuthUserFile /chemin/vers/ma/list_utilisateur
AuthGroupFile /dev/null
AuthName "ici"
 
<Limit HEAD GET POST>
require valid-user
</Limit>

ouais , d'ailleurs , c'est presque sur que ca vient de ton .htaccess

 
Nope... j'ai trouvé.
Je ne PEUX PAS interdire l'acces au repertoire cgi-bin avec les htpasswd... enfin pour l'instant. Si je fais la meme manip avec mon rep htdocs, y'a pas de pb.
 
Donc question subsidiaire : est il possible de proteger le rep cgi-bin avec htpasswd ?
 
Je vais voir ce que je peux trouver sur google a ce sujet... mais ne vous genez pas pour repondre si vous connaissez la reponse !
 

 
EDIT : bon, en tout cas ça ne pose pas de pb que le serveur soit un serveur https... c'est deja ça. Plus qu'a trouver comment proteger mes scripts et pas mes docs html...

[jfdsdjhfuetppo]--Message édité par impulse le 07-05-2002 à 16:56:41--[/jfdsdjhfuetppo]

t'as précisé le alloworride authconfig dans la partie <directory /truc/muche/cgi-bin> ?  
 
Apparemment cette directive semble autorisée.

et je confirme : ca fonctionne chez moi.  ( une fois httpd.conf modifié comme dit precedemment , un pti killall -HUP httpd et ça fonctionne)

 
Je vais verifier... ça doit etre ça le pb.  
MOI je bosse aujourd'hui...
 
Merci pour ton aide.
 

[jfdsdjhfuetppo]--Message édité par impulse le 08-05-2002 à 09:08:14--[/jfdsdjhfuetppo]