Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
apache2 [Le 15/02/2022, 18:14] krodelabestiole [mod_headers] (ortograf) |
apache2 [Le 24/04/2024, 17:24] (Version actuelle) krodelabestiole [Permissions] |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>réseau serveur internet Xenial Bionic Focal}} | + | {{tag>réseau serveur internet Focal}} |
| {{ :logo:apache-logo.png?80nolink| Logo du logiciel Apache 2}} | {{ :logo:apache-logo.png?80nolink| Logo du logiciel Apache 2}} | ||
| ====== Serveur HTTP Apache 2 ====== | ====== Serveur HTTP Apache 2 ====== | ||
| - | Un [[https://fr.wikipedia.org/wiki/Serveur_HTTP|serveur HTTP]] permet à un site web de communiquer avec un navigateur en utilisant le protocole [[https://fr.wikipedia.org/wiki/Hypertext_Transfer_Protocol|HTTP(S)]] et ses extensions ([[https://fr.wikipedia.org/wiki/WebDAV|WebDAV]], etc.). **Apache** est probablement le serveur HTTP le plus populaire. C'est donc lui qui met à disposition la plupart des sites Web du [[https://fr.wikipedia.org/wiki/World_Wide_Web|WWW]].\\ | + | Un [[wpfr>Serveur_HTTP|serveur HTTP]] permet à un site web de communiquer avec un navigateur en utilisant le protocole [[wpfr>Hypertext_Transfer_Protocol|HTTP(S)]] et ses extensions ([[wpfr>WebDAV|WebDAV]], etc.). **Apache** est probablement le serveur HTTP le plus populaire. C'est donc lui qui met à disposition la plupart des sites Web du [[wpfr>World_Wide_Web|WWW]].\\ |
| Il est produit par la //Apache Software Foundation//. C'est un logiciel libre fourni sous la [[wpfr>Licence_Apache|licence spécifique Apache]]. | Il est produit par la //Apache Software Foundation//. C'est un logiciel libre fourni sous la [[wpfr>Licence_Apache|licence spécifique Apache]]. | ||
| Ligne 38: | Ligne 38: | ||
| ==== Autres commandes utiles ==== | ==== Autres commandes utiles ==== | ||
| - | Pour arrêter apache2 : | + | * Pour arrêter apache2 : ''sudo systemctl stop apache2'' |
| - | <code>sudo systemctl stop apache2</code> | + | * Pour lancer apache2 : ''sudo systemctl start apache2'' |
| - | + | * Pour relancer apache2 : ''sudo systemctl restart apache2'' | |
| - | Pour lancer apache2 : | + | * Pour recharger la configuration d'apache2 : ''sudo systemctl reload apache2'' |
| - | <code>sudo systemctl start apache2</code> | + | * Pour voir la version d'Apache utilisée : ''sudo apache2ctl -v'' ou ''a2query -v'' |
| - | + | * Pour tester l'ensemble de la configuration d'Apache : ''sudo apache2ctl -t'' | |
| - | Pour relancer apache2 : | + | * Pour lister les hôtes virtuels chargés : ''a2query -s'' |
| - | <code>sudo systemctl restart apache2</code> | + | * Pour lister les hôtes virtuels chargés et leurs configurations : ''sudo apache2ctl -S'' |
| - | + | * Pour tester la configuration des hôtes virtuels : ''sudo apache2ctl -t -D DUMP_VHOSTS'' | |
| - | Pour recharger la configuration d'apache2 : | + | * Pour voir les modules d'Apache chargés : ''sudo apache2ctl -M'' ou ''a2query -m'' |
| - | <code>sudo systemctl reload apache2</code> | + | |
| - | + | ||
| - | Pour voir la version d'Apache utilisée : | + | |
| - | <code>sudo apache2ctl -v</code> | + | |
| - | + | ||
| - | Pour tester l'ensemble de la configuration d'Apache : | + | |
| - | <code>sudo apache2ctl -t</code> | + | |
| - | + | ||
| - | Pour tester la configuration des hôtes virtuels : | + | |
| - | <code>sudo apache2ctl -t -D DUMP_VHOSTS</code> | + | |
| - | + | ||
| - | Pour voir les modules d'Apache chargés : | + | |
| - | <code>sudo apache2ctl -M</code> | + | |
| ===== Mode de fonctionnement sommaire ===== | ===== Mode de fonctionnement sommaire ===== | ||
| Ligne 66: | Ligne 53: | ||
| Lorsqu'il démarre, Apache charge les fichiers de configuration et se met en attente de requêtes sur les interfaces réseaux. On dit qu'il écoute (//listen// en anglais) certains ports. | Lorsqu'il démarre, Apache charge les fichiers de configuration et se met en attente de requêtes sur les interfaces réseaux. On dit qu'il écoute (//listen// en anglais) certains ports. | ||
| - | Lorsqu'on utilise un navigateur web, que l'on clique sur un lien ou qu'on rentre directement une [[web#url|URL]] dans la barre d'adresse, on effectue une requête : | + | Lorsqu'on utilise un navigateur web, que l'on clique sur un lien ou qu'on rentre directement une [[web#url|URL]] dans la barre d'adresse, on effectue une requête : |
| * Le navigateur résout le nom de domaine (il obtient l'adresse IP du serveur). | * Le navigateur résout le nom de domaine (il obtient l'adresse IP du serveur). | ||
| * Il envoie une requête HTTP avec la méthode GET à l'IP du serveur sur le port 80 (ou HTTPS sur le port 443) pour lui demander de retourner un contenu particulier. | * Il envoie une requête HTTP avec la méthode GET à l'IP du serveur sur le port 80 (ou HTTPS sur le port 443) pour lui demander de retourner un contenu particulier. | ||
| Ligne 89: | Ligne 76: | ||
| * ''mods-enabled'' contient des [[:lien_physique_et_symbolique|liens symboliques]] vers les configurations, dans ''mods-available'', des modules activés | * ''mods-enabled'' contient des [[:lien_physique_et_symbolique|liens symboliques]] vers les configurations, dans ''mods-available'', des modules activés | ||
| - | <note important>Normalement les fichiers de configuration globale ''apache2.conf'', ''envars'' et ''ports.conf'' n'ont pas à être modifiés. Toute la configuration devrait se faire dans les sous dossiers ''xxx-available''.</note> | + | <note important>Normalement les fichiers de configuration globale ''apache2.conf'', ''envars'' et ''ports.conf'' n'ont pas à être modifiés. |
| + | |||
| + | Ces fichiers généraux sont susceptibles d'être écrasés lors d'une mise à jour majeure de son système, et on perd dans ce cas sa configuration personnalisée. | ||
| + | |||
| + | Toute la configuration devrait se faire dans les sous dossiers ''xxx-available''.</note> | ||
| Les diverses configurations sont activées (''a2en'' pour //Apache 2 enable//) ou désactivées (''a2dis'' pour //Apache 2 disable//) avec les commandes suivantes : | Les diverses configurations sont activées (''a2en'' pour //Apache 2 enable//) ou désactivées (''a2dis'' pour //Apache 2 disable//) avec les commandes suivantes : | ||
| Ligne 126: | Ligne 117: | ||
| <note important> | <note important> | ||
| - | Ce chapitre est ici à titre d'information.\\ | + | Ce chapitre est ici à titre d'information. |
| - | Il n'est a priori pas nécessaire de modifier les fichiers existant par défaut. Chaque site ou service devrait correspondre à un hôte virtuel unique, définit dans un fichier indépendant (voir [[#creation_d_hotes_virtuels|création d'hôtes virtuels]]).\\ | + | Il n'est a priori pas nécessaire de modifier les fichiers existant par défaut. Chaque site ou service devrait correspondre à un hôte virtuel unique, définit dans un fichier indépendant (voir [[#creation_d_hotes_virtuels|création d'hôtes virtuels]]). |
| De plus ces fichiers existant par défaut peuvent éventuellement être écrasés lors de mises à jour majeures du système. | De plus ces fichiers existant par défaut peuvent éventuellement être écrasés lors de mises à jour majeures du système. | ||
| </note> | </note> | ||
| Ligne 192: | Ligne 183: | ||
| CustomLog /var/log/apache2/access.example.com.log combined</file> | Il est pratique d'avoir des logs séparés pour chaque hôte virtuel, afin de ne pas mélanger toutes les informations. | | CustomLog /var/log/apache2/access.example.com.log combined</file> | Il est pratique d'avoir des logs séparés pour chaque hôte virtuel, afin de ne pas mélanger toutes les informations. | | ||
| - | Après avoir l'avoir créée, il faut activer cette configuration avec la commande ''sudo a2ensite [nom du fichier sans son extension]''. Par exemple : | + | Après l'avoir créée, il faut activer cette configuration avec la commande ''sudo a2ensite [nom du fichier sans son extension]''. Par exemple : |
| <code>sudo a2ensite example.com</code> | <code>sudo a2ensite example.com</code> | ||
| On recharge ensuite la configuration d'Apache : | On recharge ensuite la configuration d'Apache : | ||
| Ligne 199: | Ligne 190: | ||
| <note tip> | <note tip> | ||
| On peut définir un hôte virtuel sans avoir de nom de domaine enregistré chez un registrar. | On peut définir un hôte virtuel sans avoir de nom de domaine enregistré chez un registrar. | ||
| + | Cela peut être très pratique en phase de développement sur une machine ou un réseau local, par exemple. | ||
| - | On peut soit utiliser un sous-domaine de ''localhost'', comme ''example.localhost'', qui pointera directement sur la machine locale (et qui ne sera donc valable que sur la machine qui fait tourner Apache), soit créer un nouveau nom de domaine "fictif". | + | Il existe plusieurs méthodes :\\ |
| + | \\ | ||
| - | Il faut dans ce cas résoudre l'IP du serveur pour un domaine fictif côté client. Cela se fait en [[:tutoriel:comment_modifier_un_fichier|éditant le fichier]] ''/etc/hosts'' côté client avec les [[:sudo|droits d'administration]] pour y ajouter la ligne : | + | * on peut utiliser un sous-domaine de ''localhost'', comme ''example.localhost'', qui pointera directement sur la machine locale (et qui ne sera donc valable que sur la machine qui fait tourner Apache)\\ |
| - | <file - hosts>127.0.0.1 example</file> | + | \\ |
| - | où ''127.0.0.1'' est l'adresse IP du serveur (locale dans ce cas) et ''example'' est le nom de domaine choisi.\\ | + | |
| + | * on peut profiter des services [[:zeroconf#mDNS]] qui sont aujourd'hui fonctionnels sur la plupart des réseaux domestiques, sans qu'on ne touche à rien : on peut tester la connexion depuis le client en tapant la commande ''ping'' suivi par le nom de la machine (sans accent et en remplaçant les espaces par des ''-'') ''.local'' (tout attaché) : | ||
| + | <code>ping mon-ordi.local</code> | ||
| + | Si on a une réponse c'est que ça fonctionne, on peut utiliser ce nom de domaine sur le réseau local.\\ | ||
| + | \\ | ||
| + | |||
| + | * ou on peut créer un nouveau nom de domaine "fictif". | ||
| + | Il faut dans ce cas résoudre l'IP du serveur pour un domaine fictif côté client. Cela se fait soit en utilisant un résolveur de DNS local "menteur" (voir le projet [[wpfr>Pi-hole]] par ex.), soit en [[:tutoriel:comment_modifier_un_fichier|éditant le fichier]] ''/etc/hosts'' de chaque client avec les [[:sudo|droits d'administration]] pour y ajouter la ligne : | ||
| + | <file - hosts>127.0.0.1 example.lan</file> | ||
| + | où ''127.0.0.1'' est l'adresse IP du serveur (locale dans ce cas) et ''example.lan'' est le nom de domaine choisi.\\ | ||
| (Voir la [[:hosts|documentation concernant le fichier hosts]]) | (Voir la [[:hosts|documentation concernant le fichier hosts]]) | ||
| - | Avec la directive ''ServerName example'' dans le //VirtualHost//, l'hôte virtuel sera accessible depuis ce client à l'adresse [[http://example/]]. | + | Avec la directive ''ServerName example.lan'' dans le //VirtualHost//, l'hôte virtuel sera accessible depuis ce client à l'adresse [[http://example.lan/]]. |
| - | Cela peut être très pratique en phase de développement sur une machine ou un réseau local, par exemple. | + | Les TLD recommandés dans ce contexte sont ''.intranet'', ''.internal'', ''.private'', ''.corp'', ''.home'', et ''.lan''.(([[https://datatracker.ietf.org/doc/html/rfc6762#appendix-G|RFC6732 - Private DNS Namespaces]])) |
| </note> | </note> | ||
| Ligne 230: | Ligne 232: | ||
| ==== Mise en place de HTTPS avec Certbot ==== | ==== Mise en place de HTTPS avec Certbot ==== | ||
| - | Prérequis : | + | Prérequis : |
| * avoir un ou plusieurs noms de domaine enregistrés, pointant sur le serveur depuis plus de 48 heures. | * avoir un ou plusieurs noms de domaine enregistrés, pointant sur le serveur depuis plus de 48 heures. | ||
| * avoir un serveur web apache déjà configuré, fonctionnel et accessible publiquement. | * avoir un serveur web apache déjà configuré, fonctionnel et accessible publiquement. | ||
| Ligne 250: | Ligne 252: | ||
| Après cette opération les sites devraient être accessibles en HTTPS de manière sécurisée, sans que les navigateurs affichent de message d'alerte. | Après cette opération les sites devraient être accessibles en HTTPS de manière sécurisée, sans que les navigateurs affichent de message d'alerte. | ||
| - | <note>Grâce à l'option ''--apache'', Certbot s'occupe automatiquement de créer des fichiers de configuration de la forme ''/etc/apache2/sites-available/example.com-le-ssl.conf'' pour les hôtes virtuels en HTTPS sur le port 443 et de les activer (''-le-ssl'' pour //Let's Encrypt//).</note> | + | <note>Grâce à l'option ''%%--%%apache'', Certbot s'occupe automatiquement de créer des fichiers de configuration de la forme ''/etc/apache2/sites-available/example.com-le-ssl.conf'' pour les hôtes virtuels en HTTPS sur le port 443 et de les activer (''-le-ssl'' pour //Let's Encrypt//).</note> |
| === Renouvellement automatique === | === Renouvellement automatique === | ||
| Ligne 264: | Ligne 266: | ||
| Les directives de chaque fichier ''.htaccess'' s'appliquent au répertoire dans lequel il se trouve, ainsi que tous ses descendants (sous-repertoires, sous-sous-repertoires, etc.). | Les directives de chaque fichier ''.htaccess'' s'appliquent au répertoire dans lequel il se trouve, ainsi que tous ses descendants (sous-repertoires, sous-sous-repertoires, etc.). | ||
| - | C'est la directive **[[https://httpd.apache.org/docs/current/fr/mod/core.html#allowoverride|AllowOverride]]**, spécifiée dans une section ''<Directory>'' de l'[[#hotes_virtuels|hôte virtuel]] qui définit si les fichiers ''.htaccess'' doivent être pris en compte, ou pas, pour ce répertoire et ses descendants. Elle peut prendre la valeur ''All'' ou ''None''. | + | C'est la directive **[[https://httpd.apache.org/docs/current/fr/mod/core.html#allowoverride|AllowOverride]]**, spécifiée dans une section ''<Directory>'' de l'[[#hotes_virtuels|hôte virtuel]] qui définit si les fichiers ''.htaccess'' doivent être pris en compte, ou pas, pour ce répertoire et ses descendants. Elle peut prendre les valeurs ''All'' (on autorises //toutes// les directives de configuration à être modifiées) ou ''None'' (aucune directives), ou une liste détaillée des directives dont on autorise la modifications. |
| <note tip>Ces fichiers sont très pratiques pour redéfinir des paramètres sur un serveur mutualisé à l'administration duquel on n'a pas accès, ou pour définir dynamiquement des règles spécifiques à certaines solutions web (comme la [[#mod_rewrite|réécriture d'URL]]).</note> | <note tip>Ces fichiers sont très pratiques pour redéfinir des paramètres sur un serveur mutualisé à l'administration duquel on n'a pas accès, ou pour définir dynamiquement des règles spécifiques à certaines solutions web (comme la [[#mod_rewrite|réécriture d'URL]]).</note> | ||
| + | |||
| + | Exemple de protection d'un répertoire et d'un fichier dans ce répertoire : | ||
| + | <file - .htaccess> | ||
| + | # la ligne ci-dessous va interdire (forbidden) l'accès au répertoire, mais l'accès à un fichier à la fois du répertoire reste autorisé | ||
| + | RedirectMatch 403 ^/~images/?$ | ||
| + | # la ligne ci-dessous va retourner (not found), on peut mettre aussi 403, mais il peut être intéressant que la personne qui tente l'accès (un robot de hacker par exemple) croit que le fichier n'existe pas ! | ||
| + | RedirectMatch 404 ^/~images/fichier_à_protéger?$ | ||
| + | </file> | ||
| ===== Index ===== | ===== Index ===== | ||
| Ligne 309: | Ligne 319: | ||
| De nombreux services ont recours à cette pratique afin d'augmenter leur référencement et de clarifier leur contenu.\\ | De nombreux services ont recours à cette pratique afin d'augmenter leur référencement et de clarifier leur contenu.\\ | ||
| Ces services utilisent parfois une terminologie exotique pour mentionner cette pratique : [[:WordPress]] parle par ex. de //permalinks//.\\ | Ces services utilisent parfois une terminologie exotique pour mentionner cette pratique : [[:WordPress]] parle par ex. de //permalinks//.\\ | ||
| - | On peut aussi s'en servir pour déployer une [[https://fr.wikipedia.org/wiki/Interface_de_programmation|API]] web propre.\\ | + | On peut aussi s'en servir pour déployer une [[wpfr>Interface_de_programmation|API]] web propre.\\ |
| On utilise aussi parfois cette méthode afin de mettre en place des [[https://httpd.apache.org/docs/current/fr/rewrite/remapping.html|redirections web]] un peu complexes. | On utilise aussi parfois cette méthode afin de mettre en place des [[https://httpd.apache.org/docs/current/fr/rewrite/remapping.html|redirections web]] un peu complexes. | ||
| Ligne 363: | Ligne 373: | ||
| ==== mod_userdir ==== | ==== mod_userdir ==== | ||
| - | |||
| - | <note>Ce module est également documenté sur [[:xampp#modifier_le_dossier_racine_du_serveur_apache|la page xampp]].</note> | ||
| Il peut être utile, et c'est prévu par Apache, que chaque utilisateur puisse mettre un contenu web à disposition depuis son espace personnel (dans le répertoire ''home'').\\ | Il peut être utile, et c'est prévu par Apache, que chaque utilisateur puisse mettre un contenu web à disposition depuis son espace personnel (dans le répertoire ''home'').\\ | ||
| Ligne 446: | Ligne 454: | ||
| Quand Apache créé un fichier sur l'espace disque (via par exemple un [[#mod_php|script PHP]]), celui-ci appartient donc par défaut à l'utilisateur //www-data// et au groupe //www-data//. De la même manière, le serveur ne peut accéder qu'au contenu accessible par //www-data//. | Quand Apache créé un fichier sur l'espace disque (via par exemple un [[#mod_php|script PHP]]), celui-ci appartient donc par défaut à l'utilisateur //www-data// et au groupe //www-data//. De la même manière, le serveur ne peut accéder qu'au contenu accessible par //www-data//. | ||
| - | Pour des raisons de sécurité il est recommandé de modifier le propriétaire des fichiers auxquels peut accéder Apache.\\ | + | Pour pouvoir facilement éditer les fichiers tout en conservant un bon niveau de sécurité il est recommandé de modifier le propriétaire des fichiers auxquels peut accéder Apache.\\ |
| - | Le propriétaire devrait être l'utilisateur qui va maintenir le contenu localement, mais le groupe propriétaire devrait rester //www-data// : | + | Le propriétaire devrait être l'utilisateur qui va maintenir le contenu localement, mais le groupe propriétaire devrait rester //www-data// :((cette méthode se base sur [[https://serverfault.com/a/357109|cette réponse]], qui a reçu le plus d'avis positifs sur [[wpfr>Stack_Exchange_Network|Server Fault]].)) |
| <code>sudo chown -R $USER:www-data /var/www/example</code> | <code>sudo chown -R $USER:www-data /var/www/example</code> | ||
| On change ensuite les [[:permissions]] du contenu de manière à ce que l'utilisateur puisse le lire et le modifier, mais qu'Apache (dans le groupe //www-data//) ne puisse que le lire. | On change ensuite les [[:permissions]] du contenu de manière à ce que l'utilisateur puisse le lire et le modifier, mais qu'Apache (dans le groupe //www-data//) ne puisse que le lire. | ||
| - | On attribue donc les [[:droits]] ''rwx r-x ---'' (750) pour les répertoires, et ''rw- r-- ---'' (640) pour les fichiers : | + | On attribue donc les [[:droits]] ''%%rwx r-x ---%%'' (750) pour les répertoires, et ''%%rw- r-- ---%%'' (640) pour les fichiers : |
| <code>chmod -R a-rwx,u+rwX,g+rX /var/www/example</code> | <code>chmod -R a-rwx,u+rwX,g+rX /var/www/example</code> | ||
| (pour rappel ''x'' concerne les répertoires et les fichiers tandis que ''X'' ne concerne que les répertoires - et autorise à les ouvrir) | (pour rappel ''x'' concerne les répertoires et les fichiers tandis que ''X'' ne concerne que les répertoires - et autorise à les ouvrir) | ||
| - | Si Apache doit pouvoir modifier du contenu (pour un répertoire d'upload par exemple), on ne modifie que la permission concernant le groupe (le second numéro), donc ''rwx rwx ---'' (770) pour les répertoires et ''rw- rw- ---'' (660) pour les fichiers : | + | Si Apache doit pouvoir modifier du contenu (pour un répertoire d'upload par exemple), on ne modifie que la permission concernant le groupe (le second numéro), donc ''%%rwx rwx ---%%'' (770) pour les répertoires et ''%%rw- rw- ---%%'' (660) pour les fichiers : |
| <code>chmod -R g+w /var/www/example/upload</code> | <code>chmod -R g+w /var/www/example/upload</code> | ||