Mon fichier .htaccess visible sur le web !

[Wakinyan]

Bonjour,

je viens de m'apercevoir que mon fichier .htaccess est visible par n'importe qui sur le web en faisant simplement http://www.monsite.com/.htaccess

J'ai pourtant vérifié la configuration d'Apache. J'ai bien les lignes suivantes :

AccessFileName .htaccess

#
# The following lines prevent .htaccess and .htpasswd files from being 
# viewed by Web clients. 
#
<Files ~ "^\.ht">
	Order allow,deny
	Deny from all
</Files>

J'ai essayé de réduire les droits du fichier, mais l'accès au site se bloque si je ne le laisse pas en lecture pour tout le monde. Mon serveur tourne sous Debian Etch et Apache 2.2.3.

Je précise que j'utilise le script anti-aspirateur de ce site web : http://www.toulouse-renaissance.net/c_outi...aspirateurs.htm

Les premières lignes du fichier .htaccess sont donc :

SetEnvIf Remote_Addr ^38\.100\.xx\.xx$ getout # Date+user_agent
###############################################
# BANNISSEMENT DYNAMIQUE VIA SCRIPT
# ===> Les adresses bannies sont placées au début du fichier <===
# Les listes blanches de fichiers accessibles sont à  placer sous cette ligne
###############################################
SetEnvIf Request_URI "^(/robots\.txt)$" allowsome
SetEnvIf Remote_Addr ^192\.168\.1\.1$ allowsome
<Files *>
order deny,allow
deny from env=getout
allow from env=allowsome
</Files>
RewriteRule ^la_page_piege.htm$ /script_cgi/qui_bannit_l'ip.pl [L]
etc.
etc.
...

J'ai remarqué que mon fichier .htaccess n'est plus accessible ("Forbidden") publiquement si j'enlève ces lignes.

Auriez-vous une solution à ce problème ? C'est très important pour moi car ce fichier contient des directives qui pouraient donner de précieux renseignements à un attaquant. Y-at-il une modification à apporter dans la configuration d'Apache pour supporter le SetEnvIf tout en interdisant la lecture par le public ?

Merci d'avance !!

Modifié 1 Octobre 2007 par Wakinyan

[Wakinyan]

Bon, je me réponds tout seul. Il faut ajouter la ligne suivante en début de fichier :

SetEnvIfNoCase Request_URI \.ht(access|passwd)$ getout

Normal, le contenu de <Files *>...</Files> surclasse les autres

[xunil]

Je ne mets absolument rien de tout cela et j'ai le message:

You don't have permission to access /.htaccess on this server.

[captain_torche]

C'est parfaitement normal, un fichier .htaccess est protégé par défaut : tu ne peux pas le visualiser dans un navigateur.