On va voir dans cet article comment protéger l’accès à une interface web (phpsysinfo par exemple) par mot de passe car toutes les interfaces web n’ont pas toujours de fonction native pour protéger l’accès.
Création du fichier Digest
On va utiliser une authentification Digest qui permettra de sécuriser la connexion le temps de l’échange du login et du mot de passe, contrairement à l’authentification Basic qui laisse passer le mot de passe en clair.
Tout d’abord, il faut activer le module Digest de Apache si ce n’est déjà fait. Pour l’activer, tapez la commande
a2enmod auth_digest
Maintent que le module est activé, on va créer un fichier Digest dans /etc/apache2 à l’aide de la commande htdigest (j’ai mis le fichier dans /etc/apache2 mais vous pouvez le mettre dans n’importe quel répertoire lisible par Apache).
La commande pour créer le fichier Digest est la suivante (à taper en root) :
htdigest -c /etc/apache2/passwords Realm Username
- Realm sera affiché à l’utilisateur lors de la connexion pour qu’il sache quel nom et mot de passe il peut utiliser. Vous pouvez mettre ce que vous voulez mais mettez de préférence quelque chose en rapport avec le répertoire protégé (Zone administration, Phpsysinfo,…).
- Username correspond à l’utilisateur qui aura les droits pour accéder à votre interface.
/!\Si dans le futur vous avez besoin de créer d’autres utilisateurs, il suffira de taper la même commande mais sans le “-c”. Ca rajoutera le nouvel utilisateur à la suite de l’ancien dans le fichier.
Si vous laissez le “-c”, la commande va écrire le nouvel utilisateur à la place de l’ancien.
Après avoir tapé la commande, un mot de passe vous sera demandé.
Maintenant que notre fichier htdigest est créé, il faut dire à Apache de l’utiliser.
Configuration de Apache
Aller dans le répertoire /etc/apache2/sites-enabled/ et ouvrir le fichier 000-default-ssl.conf (ou 000-default.conf si vous n’utilisez pas le https). Si vous accédez à votre interface via un nom de domaine (http://exemple.org/phpsysinfo par exemple), il faudra modifier le fichier de configuration Apache de ce nom de domaine.
On va garder l’exemple de phpsysinfo, qui est situé dans /var/www/phpsysinfo.
Voici à quoi ressemble mon fichier 000-default-ssl.conf sous Debian 8 :
[pastacode lang=”apacheconf” manual=”%3CIfModule%20mod_ssl.c%3E%0A%20%20%20%20%20%20%20%20%3CVirtualHost%20_default_%3A443%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20ServerAdmin%20webmaster%40localhost%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20DocumentRoot%20%2Fvar%2Fwww%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3CDirectory%20%2F%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20Options%20FollowSymLinks%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20AllowOverride%20None%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C%2FDirectory%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3CDirectory%20%2Fvar%2Fwww%2F%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20Options%20Indexes%20FollowSymLinks%20MultiViews%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20AllowOverride%20None%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20Order%20allow%2Cdeny%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20allow%20from%20all%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C%2FDirectory%3E%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%23%20Available%20loglevels%3A%20trace8%2C%20…%2C%20trace1%2C%20debug%2C%20info%2C%20notice%2C%20warn%2C%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%23%20error%2C%20crit%2C%20alert%2C%20emerg.%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%23%20It%20is%20also%20possible%20to%20configure%20the%20loglevel%20for%20particular%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%23%20modules%2C%20e.g.%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20LogLevel%20warn%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20ErrorLog%20%24%7BAPACHE_LOG_DIR%7D%2Ferror.log%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20CustomLog%20%24%7BAPACHE_LOG_DIR%7D%2Faccess.log%20combined%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20SSLEngine%20on%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20SSLCertificateFile%20%20%20%20%2Fetc%2Fletsencrypt%2Flive%2Fwww.memodugeek.info%2Ffullchain.pem%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20SSLCertificateKeyFile%20%2Fetc%2Fletsencrypt%2Flive%2Fwww.memodugeek.info%2Fprivkey.pem%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3CFilesMatch%20%22%5C.(cgi%7Cshtml%7Cphtml%7Cphp)%24%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20SSLOptions%20%2BStdEnvVars%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C%2FFilesMatch%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3CDirectory%20%2Fusr%2Flib%2Fcgi-bin%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20SSLOptions%20%2BStdEnvVars%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C%2FDirectory%3E%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20BrowserMatch%20%22MSIE%20%5B2-6%5D%22%20%5C%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20nokeepalive%20ssl-unclean-shutdown%20%5C%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20downgrade-1.0%20force-response-1.0%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%23%20MSIE%207%20and%20newer%20should%20be%20able%20to%20use%20keepalive%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20BrowserMatch%20%22MSIE%20%5B17-9%5D%22%20ssl-unclean-shutdown%0A%09%09%09%09%20%3C%2FVirtualHost%3E%0A%3C%2FIfModule%3E%0A%0A” message=”000-default-ssl.conf” highlight=”” provider=”manual”/]
Le répertoire racine pour ce fichier est indiqué par “DocumentRoot /var/www” et est donc /var/www.
Il faut donc que le répertoire que vous souhaitez protéger par mot de passe se trouve dans /var/www.
Petite parenthèse. Si votre répertoire ne se trouve pas dans /var/www il faudra utiliser un Alias. Il vous suffit de rajouter la ligne Alias /nomdel'alias répertoiredel'aliasCa donnerai par exemple “Alias /Roundcube /opt/roundcube”. Fin de la parenthèse.
On va rajouter les lignes suivantes après la dernière balise </Directory>
[pastacode lang=”apacheconf” manual=”%3CLocation%20%2Fphpsysinfo%3E%0A%20AuthType%20Digest%0A%20AuthName%20%22Phpsysinfo%22%0A%20AuthDigestDomain%20%2Fvar%2Fwww%2Fphpsysinfo%2F%20https%3A%2F%2Fwww.exmple.fr%2Fphpsysinfo%0A%20AuthDigestProvider%20file%0A%20AuthUserFile%20%2Fetc%2Fapache2%2Fpasswords%0A%20Require%20valid-user%0A%20SetEnv%20R_ENV%20%22%2Fvar%2Fwww%2Fphpsysinfo%22%0A%20%3C%2FLocation%3E” message=”Phpsysinfo” highlight=”” provider=”manual”/]
Quelques info sur ce bloc :
- Location indique le répertoire concerné dans le répertoire racine (ou l’alias si le répertoire n’est pas dans le répertoire racine)
- AuthType indique le type d’authentification.
- AuthName doit correspondre au Realm que vous avez choisi lors de la création de l’utilisateur avec la commande htdigest.
Ca permettra à Apache de savoir quel utilisateur choisir dans le fichier passwords. - AuthDigestDomain doit avoir le chemin complet du répertoire à protéger suivi de l’url de l’interface web (ou du répertoire dans ce cas où vous voulez protéger un répertoire).
- AuthUserFile doit être renseigné avec le chemin du fichier contenant l’utilisateur et le mot de passe.
- SetEnv R_ENV doit lui aussi être renseigné avec le chemin complet du répertoire à protéger.
Il vous reste plus qu’à sauvegarder et à redémarrer Apache.
Maintenant quand vous allez rentrer l’adresse de l’interface web ou du répertoire à protéger, une fenêtre de connexion apparaîtra.
Si tout a fonctionné, en rentrant l’utilisateur et le mot de passe configuré plus haut, vous aurez accès au contenu.
Pensez à protéger l’accès http et https
Dans mon cas, toutes les connexions http sont redirigées vers le https (voir ici comment faire), donc je n’ai besoin que de modifier le fichier de configuration SSL. Si ce n’est pas votre cas, il vous faudra faire la même modification sur le fichier 000-default.conf, sinon l’interface sera protégée quand on y accède en https mais sera sans aucune protection quand on y accède en http.
Idem si vous accéder à votre interface via un nom de domaine. Si vous n’avez pas de redirection https pensez bien à rajouter cette modif dans le vhost du port 80 ET dans le vhost du port 443.
Ping : Rtorrent + Rutorrent sur Debian 8