10.12. Foire aux questions
- Q : Est-il plus sûr de compiler un gestionnaire de périphérique directement dans le noyau, plutôt que d'en faire un module ?
- Q : Pourquoi se connecter comme root d'une machine distante échoue ?
- Q : Comment puis-je activer les extensions SSL d'Apache ?
- Q : Comment puis-je manipuler des comptes les utilisateurs tout en assurant la sécurité ?
- Q : Comment puis-je protéger des documents HTML particuliers en utilisant Apache ?
R : Certaines personnes pensent qu'il vaut mieux désactiver la possibilité de charger des gestionnaires de périphériques sous forme de modules, car un intrus pourrait charger un module cheval de Troie ou un module qui pourrait affecter la sécurité du système.
De toute façon, pour pouvoir charger des modules, vous devez être root. Les fichiers modules objets ne peuvent aussi qu'être écrits par root. Cela signifie qu'un intrus aurait besoin d'un accès root pou insérer un module. Si un intrus obtient l'accès root, il y a des choses plus sérieuses à propos desquelles se préoccuper que de savoir s'il voudra charger un module.
Les modules sont faits pour le chargement dynamique de gestionnaire de périphériques rarement utilisés. Sur des machines serveurs ou pare-feu, en l'occurrence, cela est très improbable. Pour cette raison, il devrait être plus logique de compiler les gestionnaires directement dans le noyau pour des machines agissant en tant que serveurs. Les modules sont aussi plus lents que les gestionnaires compilés directement dans le noyau.
R : Lisez Sécurité pour root. Cela est fait à dessein pour empêcher des utilisateurs distants de se connecter via telnet à votre machine comme root, ce qui est une vulnérabilité sérieuse de sécurité, car alors le mot de passe de root serait transmit, en clair, à travers le réseau. N'oubliez pas : Les intrus potentiels ont du temps devant eux et peuvent lancer des programmes automatiques pour trouver votre mot de passe.
R : Installez le paquetage mod_ssl et consultez la documentation sur le site Web de mod_ssl.
 | Vous pouvez aussi installer le module mod_sxnet, qui est un greffon pour mod_ssl et permet d'activer le Thawte Secure Extranet. mod_ssl chiffre les communications, mais mod_sxnet permet en plus d'authentifier de manière sûre les utilisateurs d'une page Web grâce à un certificat personnel. Vous pouvez consulter le site Web de Thawte. |
Vous devriez aussi essayer ZEDZ net qui a plusieurs paquetages pré-compilés, et est situé en dehors des États-Unis.
R : Votre distribution Mandrake Linux propose un grand nombre d'outils pour changer les propriétés des comptes utilisateurs.
Les commandes pwconv et unpwconv peuvent être utilisés pour passer entre des mots de passe fantômes (shadow) ou non.
Les commandes pwck et grpck peuvent être utilisées pour vérifier la cohérence des fichiers passwd et group.
Les commandes useradd, usermod, et userdel peuvent être utilisées pour ajouter, supprimer, et modifier des comptes utilisateurs. Les commandes groupadd, groupmod, et groupdel feront de même pour les groupes.
Des mots de passe de groupes peuvent être créés en utilisant gpasswd.
Tous ces programmes sont « compatibles shadow » -- c'est à dire, si vous activez les procédures shadow, ils utiliseront /etc/shadow pour l'information de mots de passes, sinon non.
R : Je parie que vous ne connaissiez pas apacheweek ?
Vous pouvez trouver des informations sur l'authentification des utilisateurs sur le site Web de apacheweek ainsi que d'autres conseils de sécurité pour serveurs Web sur le site de apache.org