mirror of
https://github.com/macintoshplus/doc-fr.git
synced 2026-03-29 12:22:19 +02:00
bd161849d5
git-svn-id: https://svn.php.net/repository/phpdoc/fr/trunk@260939 c90b9560-bf6c-de11-be94-00142212c4b1
72 lines
2.8 KiB
XML
72 lines
2.8 KiB
XML
<?xml version="1.0" encoding="iso-8859-1"?>
|
|
<!-- $Revision: 1.13 $ -->
|
|
<!-- EN-Revision: 1.4 Maintainer: yannick Status: ready -->
|
|
<!-- Reviewed: no -->
|
|
|
|
<chapter xml:id="security.apache" xmlns="http://docbook.org/ns/docbook">
|
|
<title>Installé en tant que module Apache</title>
|
|
<simpara>
|
|
Lorsque PHP est compilé en tant que module Apache, ce module hérite des
|
|
permissions accordées à l'utilisateur faisant tourner Apache (par défaut,
|
|
l'utilisateur "nobody"). Cela à plusieurs impacts sur la sécurité et
|
|
les autorisations.
|
|
Par exemple, si vous utilisez PHP pour accéder à une base de données, à
|
|
moins que la base n'ait un système de droits d'accès interne, vous devrez
|
|
rendre la base accessible à l'utilisateur "nobody". Cela signifie qu'un
|
|
script mal intentionné peut accéder à la base, la modifier sans
|
|
identification. Il est aussi possible qu'un robot accède à la page
|
|
d'administration, et détruise toutes les pages. Vous devez aussi protéger
|
|
vos bases de données avec les autorisations Apache, ou définir votre
|
|
propre modèle d'accès avec LDAP, &htaccess;, etc. et inclure ce code
|
|
dans tous vos scripts : PHP.
|
|
</simpara>
|
|
<simpara>
|
|
Souvent, lorsqu'on a établi les droits de l'utilisateur PHP (ici,
|
|
l'utilisateur Apache) pour minimiser les risques, on s'aperçoit que
|
|
PHP ne peut plus écrire de virus dans les fichiers des utilisateurs.
|
|
Ou encore, modifier une base de données privée. Il est aussi incapable
|
|
de modifier des fichiers qu'il devrait pouvoir modifier, ou effectuer
|
|
certaines transactions.
|
|
</simpara>
|
|
<simpara>
|
|
Une erreur fréquente de sécurité est de donner à l'utilisateur Apache
|
|
les droits de superadministrateur ou d'améliorer les possibilités d'Apache
|
|
d'une autre façon.
|
|
</simpara>
|
|
<simpara>
|
|
Donner de telles permissions à l'utilisateur Apache est extrêmement
|
|
dangereux, et peut compromettre tout le système, telle que l'utilisation
|
|
des <literal>sudo</literal> ou du <literal>chroot</literal>.
|
|
Pour les novices de la sécurité, une telle utilisation est à exclure
|
|
d'office.
|
|
</simpara>
|
|
<simpara>
|
|
Il existe des solutions plus simples. En utilisant
|
|
<link linkend="ini.open-basedir">open_basedir</link> vous pouvez contrôler et restreindre
|
|
l'accès à certains dossiers qui pourront être utilisés par PHP. Vous pouvez
|
|
aussi créer des aires de restrictionsApache, pour restreindre les activités
|
|
anonymes liées aux internautes.
|
|
</simpara>
|
|
</chapter>
|
|
|
|
<!-- Keep this comment at the end of the file
|
|
Local variables:
|
|
mode: sgml
|
|
sgml-omittag:t
|
|
sgml-shorttag:t
|
|
sgml-minimize-attributes:nil
|
|
sgml-always-quote-attributes:t
|
|
sgml-indent-step:1
|
|
sgml-indent-data:t
|
|
indent-tabs-mode:nil
|
|
sgml-parent-document:nil
|
|
sgml-default-dtd-file:"../../manual.ced"
|
|
sgml-exposed-tags:nil
|
|
sgml-local-catalogs:nil
|
|
sgml-local-ecat-files:nil
|
|
End:
|
|
vim600: syn=xml fen fdm=syntax fdl=2 si
|
|
vim: et tw=78 syn=sgml
|
|
vi: ts=1 sw=1
|
|
-->
|