[Résolu]La page d'accueil visible

[shwing]

Bonjour,

Je me pose la question suivant:

Pourquoi par défaut la page index.cgi est visible directement sans authentification préalable ?

Ne trouvez-vous pas que le faite qu'on puisse voir la page d'Ipcop sur le net peut être déjà considérer comme un trou de sécurité ?

Ne serait-il pas mieux lorsqu'on souhaite se connecter sur Ipcop à distance, le mot de passe soit demandé directement sans voir aucune info ?

Pour exemple:
m0n0wall ne permet pas de joindre l'interface graphique si l'on est en IP dynamique (un peu extreme, pour moi).


Conclusion: y a t-il un moyen de modifier ce settings ?


Merci pour vos avis.



Solution en bas de page ou dans le newbee kit.

[Billou02]

Salut

ca fait longtemps que j'y pense.

la page d'acceuil reprends l'ip, le nom d'hote, le nom de la machine et le domaine dans laquelle elle est. ce qui sont déjà des infos plus que sensibles.

je suis en phase d'essayer pfsense pour cela (dérivé de m0n0wall).

d'autres avis ?

[yarglaheu]

Bonjour,

Une idée : modifier le fichier httpd.conf pour demander le user/pass

[Billou02]

Une idée : modifier le fichier httpd.conf pour demander le user/pass

euh une idée un peu plus précise ?
le newb que je suis as du mal a programmer le nux...

un petit newbie kit ? ca devrait plaire a plus d'un... (dont moi )

[shwing]

il faudrait, je pense, modifier le "Allow from any" et le remplacer par ...

A la ligne 58 jusqu'à 65

Code: Tout sélectionner

<Files index.cgi>
        Satisfy Any
        Allow from All
    </Files>
    <Files credits.cgi>
        Satisfy Any
        Allow from All
    </Files>

j'ai essayé de supprimer ces lignes et fais un httpd restart

j'ai essayé de mettre ceci à la place:

Code: Tout sélectionner

AllowOverride None
    Options None
    AuthName "Restricted"
    AuthType Basic
    AuthUserFile /var/ipcop/auth/users
    Require user admin


et fais un httpd restart

aucune résultat.

Comme vous l'avez remarqué, je ne suis pas non plus un expert.

bon il est midi... a+

[bad_trips]

J'y avais dejà pensé, mais j'ai jamais trouvé où il fallait le mettre ni quel fichier modifié. A mon avi il faut trouver l'appel de l'identification et la déplacer au moment ou se fait la connection. Si une personne plus "savante " que nous trouve il serait agréable de nous faire parvenir la reponse et pourquoi pas la mettre en activité sur les prochaine versions.
Merci.

[Gesp]

Cela fait partie des choses qui devraient être changées en v1.5 mais le comment n'est pas encore déterminé (à part demander l'authentification pour toutes les pages).

[shwing]

la 1.5 semble être plein de promesse...

[ShonGail]

il faudrait, je pense, modifier le "Allow from any" et le remplacer par ...

A la ligne 58 jusqu'à 65

Code: Tout sélectionner

<Files index.cgi>
        Satisfy Any
        Allow from All
    </Files>
    <Files credits.cgi>
        Satisfy Any
        Allow from All
    </Files>

j'ai essayé de supprimer ces lignes et fais un httpd restart

Hello, cette manip fonctionne sur mon Ipcop 1.3 mais un "httpd restart" ne suffit pas. Un reboot est nécessaire.

[ShonGail]

Milles excuses, un reboot n'est pas obligatoire.

Il suffit de tuer les processus httpd ("killall httpd") et de le relancer ("httpd -DSSL")

Cela permet de prendre en compte les modifications apportées dans httpd.conf

[shwing]

super cela fonctionne !

Merci ShonGail.

Pensez-vous que cela puisse être mis dans le noob kit ?

la procédure est juste ?

Code: Tout sélectionner

Question: Rendre impossible la vue de la page index.cgi

Mots-clé: httpd.conf , password, mot de passe, sécurité, home page, authentification, page de garde,

Réponse: modifier le fichier httpd.conf aux lignes 58 à 65 modifier ceci


<Files index.cgi>
    Satisfy Any
    Allow from All
</Files>

<Files credits.cgi>
    Satisfy Any
    Allow from All
</Files>

par ceci:

<Files index.cgi>
    AllowOverride None
    Options None
    AuthName "Restricted"
    AuthType Basic
    AuthUserFile /var/ipcop/auth/users
    Require user admin
</Files>

<Files credits.cgi>
    AllowOverride None
    Options None
    AuthName "Restricted"
    AuthType Basic
    AuthUserFile /var/ipcop/auth/users
    Require user admin
</Files>

lancer la commande "killall httpd" et relancer par "httpd -DSSL"




bon mis à part ça je ne comprends pas le httpd - DSSL, pourquoi un simple httpd start ne suffit pas ? Et pourquoi 2 X le "S" ?
j'imagine que tu le l'a pas inventé pour me faire plaisir...

Code: Tout sélectionner


root@ipcop:~ #httpd -h

Usage: httpd [-D name] [-d directory] [-f file]
             [-C "directive"] [-c "directive"]
             [-v] [-V] [-h] [-l] [-L] [-S] [-t] [-T] [-F]
Options:
  -D name          : define a name for use in <IfDefine name> directives
  -d directory     : specify an alternate initial ServerRoot
  -f file          : specify an alternate ServerConfigFile
  -C "directive"   : process directive before reading config files
  -c "directive"   : process directive after  reading config files
  -v               : show version number
  -V               : show compile settings
  -h               : list available command line options (this page)
  -l               : list compiled-in modules
  -L               : list available configuration directives
  -S               : show parsed settings (currently only vhost settings)
  -t               : run syntax check for config files (with docroot check)
  -T               : run syntax check for config files (without docroot check)
  -F               : run main process in foreground, for process supervisors


[ShonGail]

Hello,

le paramètre "-DSSL" sert à prendre en compte les directives SSL présentes dans le httpd.conf :

Code: Tout sélectionner

<IfDefine SSL>
   …
   </IfDefine>

Si tu fais un "ps -ax" sur ton Ipcop, tu te rendras compte que httpd est lancé par défaut sous Ipcop avec ce paramètre

[shwing]

ok,merci pour cette précision. sympa.

[Billou02]

Salut,
perso, je pense que cela doit figurer dans le newbie kit, ca va interesser beaucoup de monde.

par contre je me posais une question. ipcop contient une commande

Code: Tout sélectionner

setreservedport

tout le monde la connais bien.

le fait de faire une modif de ce genre dans le httpd.conf ne va t'il pas perturber son fonctionnement ?
en gros faut il utiliser SetReservedPort :

Réponse A - Avant de modifier le fichier ?
Réponse B - Après avoir modifié le fichier ?
Réponse C - Ne plus l'utiliser ?
Réponse D - Ca n'a pas d'importance.

[manu59]

pour info, sur la Smooth' 3.0 grizzly, la page d'accueil ne s'affiche pas si vous n'avez pas entré votre login et mdp correspondant ...