Comment empêcher les accès direct /var/www/vhost?

Le
Olivier Pavilla
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--enig22E178A4589AFF4E7655D69A
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Bonjour

J'ai une squeeze à jours. J'ai mis des règles iptables, fail2ban pour=

apache, et d'autres petits trucs
Pourtant, j'ai régulièrement ce genre de message dans mes logs


[Sun Oct 02 07:06:13 2011] [error] [client 66.249.71.118] File does not
exist: /var/www/blog.dumpsize.com/2011
[Sun Oct 02 07:35:25 2011] [error] [client 208.115.113.82] File does not
exist: /var/www/blog.dumpsize.com/2011
[Sun Oct 02 07:35:35 2011] [error] [client 208.115.113.82] File does not
exist: /var/www/blog.dumpsize.com/tag
[Sun Oct 02 08:46:06 2011] [error] [client 65.52.110.17] File does not
exist: /var/www/blog.dumpsize.com/galleries


Commet empêcher les curieux d'aller direct dans
/var/www/blog.dumpsize.com/galleries?


--enig22E178A4589AFF4E7655D69A
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOo8VSAAoJEM7XNMjeLGQfEV0IAOE0QO7rYXQtpu7lSPPYh2Lh
YzCrSKw1IG1iGQVtPKE6xkDG2v0SIIasgF+egcWaRNjJ/CbM+wTZjQ8NMDXIT0PO
/MdRMPjMuj++d34zAY4shTbJYDwXucZv+KOr5gB/xXwxN9p4/WaPB6l0yyA6gZVJ
YP0VetsZnS7wyhVz1rsrIl/LPOlaY0kH3ysFcLekHLWN0UUMwLjxdwziK8PxlOdF
vMyQ1UJVicHtqUuKdObxVf2NbAp03rlEG7aQDi7pldL2oAeR95pzidAB3QtvqnmQ
lRqWjimxvSrWSPCnbf3MbmpwlWehqWbxoau+ZiJV6LCom7GpSXcHgqxLt+Fn57U=
=pQnR
--END PGP SIGNATURE--

--enig22E178A4589AFF4E7655D69A--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4EA3C545.2050807@linux-squad.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Basile Starynkevitch
Le #23895371
On Sun, 23 Oct 2011 09:41:57 +0200
Olivier Pavilla
J'ai une squeeze à jours. J'ai mis des règles iptables, fail2ban pour
apache, et d'autres petits trucs...
Pourtant, j'ai régulièrement ce genre de message dans mes logs
[Sun Oct 02 08:46:06 2011] [error] [client 65.52.110.17] File does not
exist: /var/www/blog.dumpsize.com/galleries


Commet empêcher les curieux d'aller direct dans
/var/www/blog.dumpsize.com/galleries?




Moi je comprends que c'est le serveur HTTP (Apache, Lighttpd ou autre) qui traduit une
requête HTTP vers galleries en la tentative de lecture de ce répertoire.

Et donc, que le message d'erreur n'est pas inquiétant.

Cordialement


--
Basile STARYNKEVITCH http://starynkevitch.net/Basile/
email: basile<at>starynkevitch<dot>net mobile: +33 6 8501 2359
8, rue de la Faiencerie, 92340 Bourg La Reine, France
*** opinions {are only mine, sont seulement les miennes} ***

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #23895761
On Sun, 23 Oct 2011 09:41:57 +0200
Olivier Pavilla
[Sun Oct 02 07:06:13 2011] [error] [client 66.249.71.118] File does not
exist: /var/www/blog.dumpsize.com/2011


...
Commet empêcher les curieux d'aller direct dans
/var/www/blog.dumpsize.com/galleries?



En édifiant les règles de sécurité qui vont bien pour l e svr http
utilisé (et en créant une page 404 qui semble absente).

--
What is worth doing is worth the trouble of asking somebody to do.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Aéris
Le #23896161
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 23/10/2011 10:20, Olivier Pavilla a écrit :
Commet empêcher les curieux d'aller direct dans
/var/www/blog.dumpsize.com/galleries?



À vu de nez, tu sembles utiliser du VirtualDocumentRoot
Et donc
– Toute adresse IP routée sur ta machine y compris celles que tu ne
maîtrises pas (DNS de l'ancien propriétaire du serveur…)
— N'importe quel client un peu malin qui enverrait un « Host » délirant
dans sa requête HTTP
conduira à un accès à « /var/www/vhost/host.demandé »

Exemble à la con :
telnet mon.joli.serveur http
GET / HTTP/1.1
Host: hote.totalement.inconnu

HTTP/1.1 404 Not Found
Et dans les logs
[Sun Oct 23 16:05:06 2011] [error] [client 127.0.0.1] File does not
exist: /var/www/vhost/hote.totalement.inconnu

C'est le problème du VirtualDocumentRoot, on simplifie la vie de l'admin
en autorisant la réponse à de nouveaux domaines à chaud plutôt que de
créer X configurations dans « sites-enabled », mais du coup le serveur
se met à répondre à tout ce qui passe !

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOpCAHAAoJEK8zQvxDY4P9T2YH/jhOhrrZ5yoqcKpuiHfUyxKq
2SM1QqVkSMeicHwb0d+VsKCJbnrDA1dAdlytUNj3DVw3tgYjhbfEHM0sJXZyH/Uk
PPU6TJf91phjhA+VEM4g2nMS2YRkjktuKAXFEPXlpO73cWfTuOoNO81AyvaA7W3E
tvnGsgHyShigXG5ry3yYkxCxU7c34toMylNMG2JkhG+uJXjrYIv0eLJcVVV7yJWP
FpIgFynpRf24PQsVUoLshjp2DZyilu3MQOFoezY5u3V64QbzCotPlfpAwB+WSJBG
ImuesqDqcOgaxjQV3GYjlQMFTlw05S/8lD6TdO8vG83D3dD7cxv1UhSS6bR/CR8 =GnxL
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4ea42008$0$27974$
Aéris
Le #23896211
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 23/10/2011 10:20, Olivier Pavilla a écrit :
Commet empêcher les curieux d'aller direct dans
/var/www/blog.dumpsize.com/galleries?



À vu de nez, tu sembles utiliser du VirtualDocumentRoot
Et donc
– Toute adresse IP routée sur ta machine y compris celles que tu ne
maîtrises pas (DNS de l'ancien propriétaire du serveur…)
— N'importe quel client un peu malin qui enverrait un « Host » délirant
dans sa requête HTTP
conduira à un accès à « /var/www/vhost/host.demandé »

Exemble à la con :
telnet mon.joli.serveur http
GET / HTTP/1.1
Host: hote.totalement.inconnu

HTTP/1.1 404 Not Found
Et dans les logs
[Sun Oct 23 16:05:06 2011] [error] [client 127.0.0.1] File does not
exist: /var/www/vhost/hote.totalement.inconnu

C'est le problème du VirtualDocumentRoot, on simplifie la vie de l'admin
en autorisant la réponse à de nouveaux domaines à chaud plutôt que de
créer X configurations dans « sites-enabled », mais du coup le serveur
se met à répondre à tout ce qui passe !

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOpCSvAAoJEK8zQvxDY4P9PxsH/3kizflCcn+gnB2s9soDtLGv
gZg/zCG/9AltwkcK/qKBMp592S+t0LQq3EkVZp9NO5iaT3rZOYdEI5lGAIjSXwjs
G40QeDPddxIwphC9cyC0ggcSmmm763UhWF1/iNbcQUOvWhg8ljSAZcny7R4iitKw
0WkFGFNgZMM9Qepie0kZKXINVc5UQ547kzJFL1/ln7a38TpjsLTjAXLuBFEyRZEb
D+uuyLHojZyIopnH8sPeP7ii4w+R9Ss2ieVcrUm7VNfG54Z6gTo8tczXEllXD7Ro
daz8W+cJl/HTbM0OSSdT9hBTsi5Dr2BOUTJGrXrUim6fL6zYEIVyonhfcABDL2A =P38J
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4ea424b6$0$7928$
Olivier Pavilla
Le #23896831
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enigC94A05D81B211067B4712F8E
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le 23/10/2011 16:29, Aéris a écrit :
[cut]

C'est le problème du VirtualDocumentRoot, on simplifie la vie de l 'admin
en autorisant la réponse à de nouveaux domaines à chaud plutôt que de
créer X configurations dans « sites-enabled », mais du c oup le serveur
se met à répondre à tout ce qui passe !




C'est intéressant ce que vous me dites là.
Mais mes sites sont dans sites-enabled. Et franchement, j'ai relu le
howto qui m'a aidé à configurer Apache. Je vois nulle part que l'on
configure en Virtualdocumentroot. Je suis un peu dans l'impasse.



--------------enigC94A05D81B211067B4712F8E
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOpE9uAAoJEM7XNMjeLGQfV04H/0vjzjjkTFnmVYTf+OW/ffjb
YP3m72ARQvSf7GysQw+AMW8JKp3v9FgFYlR/1DX+rnRWGJOu/vIkTI+gIYFrAx/K
QanRceAhXIkRlpfpdB+Bkfy/FgHoUPmhu/++A6NiDYQiLAnObYb9R79lJqonZxm4
ZSDr3a1dbWCJ8O71B7T7e6CLB8PmyHl76eP2AHXvfEvJ3YRa3P7XzTXxorwpIxfI
iQhckA8XsyuI3mHpJ32hwMnZd7p6DSzB9HuZDKGpzGrmK+pzqoCrObksGPY3+S+T
K+K7kF+zIqDqOt0D7w3rTQfAoFZMSZjnpOsDIO15IF4DHjuCaIFDG738BhFc0l8 =BQwP
-----END PGP SIGNATURE-----

--------------enigC94A05D81B211067B4712F8E--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #23896971
On Sun, 23 Oct 2011 19:31:17 +0200
Olivier Pavilla
C'est intéressant ce que vous me dites là.
Mais mes sites sont dans sites-enabled. Et franchement, j'ai relu le
howto qui m'a aidé à configurer Apache. Je vois nulle part que l'on
configure en Virtualdocumentroot. Je suis un peu dans l'impasse.



Alors, c'est soit que le code de ton blog génère une telle adress e et la
demande au svr http, soit que le code permet d'insérer une suite à   l'URL,
ce qui devrait normalement se traduire par une 404 (pour les logs, sèpo
ce qu'ils doivent dire: ça fait trop longtemps que je n'utilise plus a pache).

Maintenant, comme il me semble que ça a déjà été d it, ça n'est pas un drame
d'avoir un tel logging si qqun tape http://blog.dumpsize.com/tapavumapage,
et c'est même plutôt bon signe: ça permet de voir si qqun es saye un truc
à la con sur des failles connues (genre essai d'atteindre une page php myadmin).

--
When the going gets tough, the tough go shopping.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Aéris
Le #23896981
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 23/10/2011 19:40, Olivier Pavilla a écrit :
C'est intéressant ce que vous me dites là.
Mais mes sites sont dans sites-enabled. Et franchement, j'ai relu le
howto qui m'a aidé à configurer Apache. Je vois nulle part que l'on
configure en Virtualdocumentroot. Je suis un peu dans l'impasse.



Les sites peuvent être dans sites-enabled mais quand même utiliser du
VirtualDocumentRoot.
Un « grep -r VirtualDocumentRoot /etc/apache2 » devrait confirmer tout ça.
Parce que sans cette option de config, je vois mal comment on peut
parvenir au résultat que vous mentionnez.

- --
Aeris
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOpFb6AAoJEK8zQvxDY4P9i64H/iL8CqyT5r0K9+xM5eTpzYGx
N+wt9HC4bxyG11JLBCqfjhayczPEcZxOGgrzV6aWIfg8J94/8oodCIOjiO3fvZpg
pu1YfFXm62t5EwttwbjvaEwaJToXAgWw6ShCJfJN8ijKvobxfU9nPtGeVyz+zGLy
4j0tBaHX63SstVhMzqwJLIAYo1ga6Ho/BCnWFGKezOQ53gvuAUooA9sLi27sj4fi
wNaLmZXnxts/hMmEhmQ1F3GVtX5KUDKffym0URpZkl65t8aSO7Ip9Ryv69A3HLGy
W3zUQqmCcyPdBWecL0GiJE0+kaDYnKvmg6mWepnr78Z4UghaXZgAmkaDDcy3e5I =r9XM
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4ea45700$0$27994$
Jean-Yves F. Barbier
Le #23897011
On Sun, 23 Oct 2011 19:31:17 +0200
Olivier Pavilla
Sinon, si ces logs t'ennuient vraiment, il te reste la solution adopté e par
certains sites pour obliger à que les links ne référencent q ue la page
d'accueil et pas les autres - mais là, va falloir chercher comment c'e st fait.

--
As a goatherd learns his trade by goat, so a writer learns his trade by wro te.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Olivier Pavilla
Le #23897061
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enig0D91102133999F85AF7D23D1
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le 23/10/2011 16:09, Aéris a écrit :
[cut]
C'est le problème du VirtualDocumentRoot, on simplifie la vie de l 'admin
en autorisant la réponse à de nouveaux domaines à chaud plutôt que de
créer X configurations dans « sites-enabled », mais du c oup le serveur
se met à répondre à tout ce qui passe !




C'est intéressant, ce que vous me dites là, parce que mes sites sont
déclarés dans "sites-enabled"
Je crois que j'ai pêché par ignorance...


--------------enig0D91102133999F85AF7D23D1
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOpC6ZAAoJEM7XNMjeLGQfeUwH/3/UyHQZjoTnrTvNBE7NQCSl
xFq9jCd87tVYlZV+IDT83tbT2m9ADuJ8Sy6W35aXqmwS4U0kmFLSYQpj1ILBzmwH
FrpG6P5UmsP3Dbb6MgNx5Fb+rHIcFKkFqFOqqCbBlYtaI7L5C5w+goiIVtVizTGJ
T7kj7SaKTHOU33N+HIIBtk/KA/+ZgOoT06sPcNqwqCqRFxbsEv7QrJLAfXpyyfiv
Yge7n6L/Eq3SnwvzYjAWihq8DG7D9SXKlvu4KzNtMUzUL3qJtGvGdsOXv9iFx94c
8C2cM8ogqOfgjd0uw6Fg44OtzXMBWCL4AZoZ2D33GW6TjVQifwVoo4YV8bE/9Sc =y73j
-----END PGP SIGNATURE-----

--------------enig0D91102133999F85AF7D23D1--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Olivier Pavilla
Le #23897271
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enigC4CD3B8273E1F66C27D75FD1
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le 23/10/2011 20:03, Aéris a écrit :
[cut]

Les sites peuvent être dans sites-enabled mais quand même uti liser du
VirtualDocumentRoot.
Un « grep -r VirtualDocumentRoot /etc/apache2 » devrait confi rmer tout ça.
Parce que sans cette option de config, je vois mal comment on peut
parvenir au résultat que vous mentionnez.




J'ai cherché dans tous les fichiers dans /etc/apache2
Point de "VirtualDocumentRoot".
En potassant l'affaire, j'ai trouvé la doc
http://httpd.apache.org/docs/2.2/fr/vhosts/examples.html qui se
rapproche exactement du howto sur lequel je me suis basé pour faire la
config.
Donc... Mystère et boule de gomme...
Je vais potasser l'affaire de mettre des 404 errors pour les chemins
erronés.


--------------enigC4CD3B8273E1F66C27D75FD1
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOpGqJAAoJEM7XNMjeLGQfqDkIAOZ96LHDwX1hR+2gGfcwFKNR
yfnWSbTVjOgbuvr9xdfSM5HVYf39vwzcFoCC5TlvPL+lQt68aDrzJkDSiIbTyZin
mZS/oenZo43QpmpOAt3hFtBFHAVIVJ8n4pST3fPlCeSE5UAYdeOF8R/fXES0RtvM
SR/ZUI5cqfnacY3/2Qdq8FA/VH3NF0BYUATLxuiIzfQpNRG9w9LrsZF1zX8eP9P9
mWBCPwFHHXj+0TqeYaBB7P9MrrWvrvQOHjCrxLgacyyk9GsdAOL1G+vs+KcNKL1U
KK1nI5+07wNm28g0NFcQGrqfivMxxto4b2x87Z+GmbP43F7PhpvHrcjJ1kks0OI =BUaX
-----END PGP SIGNATURE-----

--------------enigC4CD3B8273E1F66C27D75FD1--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme