Wakinyan Posté 1 Octobre 2007 Posté 1 Octobre 2007 (modifié) Bonjour, je viens de m'apercevoir que mon fichier .htaccess est visible par n'importe qui sur le web en faisant simplement http://www.monsite.com/.htaccess J'ai pourtant vérifié la configuration d'Apache. J'ai bien les lignes suivantes : AccessFileName .htaccess## The following lines prevent .htaccess and .htpasswd files from being # viewed by Web clients. #<Files ~ "^\.ht"> Order allow,deny Deny from all</Files> J'ai essayé de réduire les droits du fichier, mais l'accès au site se bloque si je ne le laisse pas en lecture pour tout le monde. Mon serveur tourne sous Debian Etch et Apache 2.2.3. Je précise que j'utilise le script anti-aspirateur de ce site web : http://www.toulouse-renaissance.net/c_outi...aspirateurs.htm Les premières lignes du fichier .htaccess sont donc : SetEnvIf Remote_Addr ^38\.100\.xx\.xx$ getout # Date+user_agent################################################ BANNISSEMENT DYNAMIQUE VIA SCRIPT# ===> Les adresses bannies sont placées au début du fichier <===# Les listes blanches de fichiers accessibles sont à placer sous cette ligne###############################################SetEnvIf Request_URI "^(/robots\.txt)$" allowsomeSetEnvIf Remote_Addr ^192\.168\.1\.1$ allowsome<Files *>order deny,allowdeny from env=getoutallow from env=allowsome</Files>RewriteRule ^la_page_piege.htm$ /script_cgi/qui_bannit_l'ip.pl [L]etc.etc.... J'ai remarqué que mon fichier .htaccess n'est plus accessible ("Forbidden") publiquement si j'enlève ces lignes. Auriez-vous une solution à ce problème ? C'est très important pour moi car ce fichier contient des directives qui pouraient donner de précieux renseignements à un attaquant. Y-at-il une modification à apporter dans la configuration d'Apache pour supporter le SetEnvIf tout en interdisant la lecture par le public ? Merci d'avance !! Modifié 1 Octobre 2007 par Wakinyan
Wakinyan Posté 1 Octobre 2007 Auteur Posté 1 Octobre 2007 Bon, je me réponds tout seul. Il faut ajouter la ligne suivante en début de fichier : SetEnvIfNoCase Request_URI \.ht(access|passwd)$ getout Normal, le contenu de <Files *>...</Files> surclasse les autres
xunil Posté 1 Octobre 2007 Posté 1 Octobre 2007 Je ne mets absolument rien de tout cela et j'ai le message: You don't have permission to access /.htaccess on this server.
captain_torche Posté 1 Octobre 2007 Posté 1 Octobre 2007 C'est parfaitement normal, un fichier .htaccess est protégé par défaut : tu ne peux pas le visualiser dans un navigateur.
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant