Aller au contenu

Mon fichier .htaccess visible sur le web !


Sujets conseillés

Bonjour,

je viens de m'apercevoir que mon fichier .htaccess est visible par n'importe qui sur le web en faisant simplement http://www.monsite.com/.htaccess :sick:

J'ai pourtant vérifié la configuration d'Apache. J'ai bien les lignes suivantes :

AccessFileName .htaccess

#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>

J'ai essayé de réduire les droits du fichier, mais l'accès au site se bloque si je ne le laisse pas en lecture pour tout le monde. Mon serveur tourne sous Debian Etch et Apache 2.2.3.

Je précise que j'utilise le script anti-aspirateur de ce site web : http://www.toulouse-renaissance.net/c_outi...aspirateurs.htm

Les premières lignes du fichier .htaccess sont donc :

SetEnvIf Remote_Addr ^38\.100\.xx\.xx$ getout # Date+user_agent
###############################################
# BANNISSEMENT DYNAMIQUE VIA SCRIPT
# ===> Les adresses bannies sont placées au début du fichier <===
# Les listes blanches de fichiers accessibles sont à placer sous cette ligne
###############################################
SetEnvIf Request_URI "^(/robots\.txt)$" allowsome
SetEnvIf Remote_Addr ^192\.168\.1\.1$ allowsome
<Files *>
order deny,allow
deny from env=getout
allow from env=allowsome
</Files>
RewriteRule ^la_page_piege.htm$ /script_cgi/qui_bannit_l'ip.pl [L]
etc.
etc.
...

J'ai remarqué que mon fichier .htaccess n'est plus accessible ("Forbidden") publiquement si j'enlève ces lignes.

Auriez-vous une solution à ce problème ? C'est très important pour moi car ce fichier contient des directives qui pouraient donner de précieux renseignements à un attaquant. Y-at-il une modification à apporter dans la configuration d'Apache pour supporter le SetEnvIf tout en interdisant la lecture par le public ?

Merci d'avance !! :)

Modifié par Wakinyan
Lien vers le commentaire
Partager sur d’autres sites

Bon, je me réponds tout seul. Il faut ajouter la ligne suivante en début de fichier :

SetEnvIfNoCase Request_URI \.ht(access|passwd)$ getout

Normal, le contenu de <Files *>...</Files> surclasse les autres :closedeyes:

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...