NilLe 08/03/2013 à 17:04
Yellow !
Dans le cadre d'un projet que je veux pouvoir (re)déployer facilement, je me pose des questions de sécurité Apache :
Outre des fichiers classiques (PHP, js, css), le projet va contenir un certain nombre de fichiers XML (workflow, description des formulaires, correspondances formulaire-bases de données...) et des fichiers de logs spécifiques à cette application.
Je ne veux bien entendu pas que ces fichiers de logs puissent être accessibles à travers le service web. Mais je n'ai pas non plus envie qu'ils soient hors de l'arborescence de l'appli web (pour des facilités de configuration et de déploiement... quand on passe par un fournisseur de service d'hébergement web, on n'a pas accès à autre chose que /var/www [ou assimilé], par exemple), du coup je préfèrerais les avoir quelque part dans /var/www/monAppli
J'envisage de mettre en place un filtrage des accès par .htaccess pour refuser l'accès aux fichiers .xml et .log ; niveau sécurité, est-ce suffisant à votre avis ? Je me dis qu'en cas de problème avec Apache (.htaccess qui n'est plus pris en compte suite à une mise à jour, faille dans le service...), ça reste limite ; d'un autre côté, la criticité du contenu de ces fichiers est toute relative. Des conseils avisés ?
En passant, j'étends la question à la gestion des mots de passes utilisés dans les scripts PHP... vous faites comment ? Le bon sens voudrait qu'aucun mot de passe n'apparaisse dans les scripts en cas de défaillance du parseur ou d'Apache, et que les fichiers de mots de passes soient hors de /var/www ; en pratique, je ne l'a quasi jamais vu (c'est un coup à perdre ses mots de passes si on sauve /var/www et qu'on oublie de sauvegarder la localisation des mdp, sans compter le problème déjà soulevé des fournisseurs d'hébergement web). Vous faites comment ? Et la méthode du .htacces, comme proposée au début, vous en pensez quoi ?