Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fr:security [2022-09-23 12:03] – [Empêcher l'accès à des répertoires avec Nginx] JeromeP
+++ fr:security [2024-09-01 02:34] (Version actuelle) – [Sécurité] 2a01:e0a:4c1:e270:9539:5ecf:64a2:9f16
@@ Ligne 1: / Ligne 1: @@
-:!: à relire
 ====== Sécurité ======
-DokuWiki est une application Web et est souvent utilisée sur des serveurs publics, accessible sur Internet. Cela signifie qu'il y a beaucoup plus de risques qu'il subissent des attaques que, par exemple, une application locale à votre ordinateur.
+DokuWiki est une application Web et est souvent utilisée sur des serveurs publics, accessibles sur Internet. Cela signifie qu'il y a beaucoup plus de risques qu'il subissent des attaques que, par exemple, une application locale à votre ordinateur.
 DokuWiki est développé en pensant à la sécurité à chaque instant. Nous essayons de trouver un juste équilibre entre l'ergonomie et la sécurité, mais lorsque le cas se présente et qu'aucun compromis n'a été trouvé, l'ergonomie est mise de côté pour privilégier la sécurité.
@@ Ligne 18: / Ligne 17: @@
 Utilisez les deux premiers moyens de préférence, les troisième et quatrième étant pour des bogues très sérieux, dont la publication avant qu'un patch soit accessible pourrait causer du tort à tous les DokuWiki de par le monde.
-Les problèmes de sécurité déjà rencontrés peuvent être vus dans le [[https://github.com/splitbrain/dokuwiki/issues?q=label%3ASecurity+|système de suivi des bugs]].
+Les problèmes de sécurité déjà rencontrés peuvent être vus dans le [[https://github.com/dokuwiki/dokuwiki/issues?q=label%3ASecurity+|système de suivi des bugs]].
 Suivant la gravité du problème de sécurité trouvé, le bogue sera incorporé à une version future (pour les problèmes mineurs) ou feront l'objet d'une "bugfix release". Dans ce dernier cas, les administrateurs de DokuWiki seront informés via le système de vérification des mises à jour.
@@ Ligne 40: / Ligne 39: @@
 Pour savoir si votre configuration et les droits d'accès sont bons, essayez d'accéder à ''%%http://yourserver.com/dokuwiki/data/pages/wiki/dokuwiki.txt%%''. Vous ne devriez pas avoir accès à ce fichier de cette manière. L'[[admin_window|Interface Administrer]] vérifiera également ces éléments pour vous et affichera un avertissement si quelque chose ne va pas.
-Veuillez noter que cela n'a rien à voir avec les [[install:permissions|permissions de fichiers]]. L'accès au Web est une configuration spécifique à votre serveur Web.
+Veuillez noter que cela n'a rien à voir avec les [[fr:install:permissions|permissions de fichiers]]. L'accès au Web est une configuration spécifique à votre serveur Web.
 Si vos répertoires ne sont pas sécurisés correctement, lisez les sections ci-dessous pour savoir comment le faire.
@@ Ligne 195: / Ligne 194: @@
 </code>
-Remarque : si vous utilisez [[config:xsendfile|xsendfile]], les règles ci-dessus interrompront la fonctionnalité sendfile. Considérer ce qui suit:
+Remarque : si vous utilisez [[fr:config:xsendfile|xsendfile]], les règles ci-dessus interrompront la fonctionnalité sendfile. Considérer ce qui suit:
 <code>
@@ Ligne 206: / Ligne 205: @@
     }
 </code>
+==== Refuser l'accès au répertoire dans Cherokee ====
+Il est relativement facile d'interdire l'accès à ces répertoires en utilisant Cherokee. Dans cherokee-admin, sélectionnez le serveur virtuel où est installé dokuwiki et sélectionnez la gestion des règles.
+puis ajoutez une nouvelle règle "Regular Expression" et mettez-y ce qui suit (en supposant que dokuwiki se trouve dans le répertoire racine):
+<code>
+   /(data|conf|bin|inc|vendor)/
+</code>
+N'oubliez pas de le définir comme "NON FINAL", car sinon, un code dans ces répertoires peut toujours être exécuté dans certaines circonstances (règle "Extensions php" comme "NON FINAL" présente, par exemple).
+Allez ensuite dans la section "Gestionnaire"("Handler") et sélectionnez Erreur HTTP. Enfin, sélectionnez "403 Forbidden" dans Erreur HTTP.
+==== Refuser l'accès au répertoire dans Caddy ====
+Voici un exemple de Caddyfile pour un wiki servi avec [[https://caddyserver.com|Caddy]] :
+<code>
+wiki.example.com {
+        log /var/log/caddy/dokuwiki.log
+        root /var/www/dokuwiki/
+        # Assuming install/config of php-fpm
+        # to listen on localhost:9000
+        fastcgi / 127.0.0.1:9000 php
+        # This block below sends an HTTP 401 message when
+        # a client attempts to access the secured directories.
+	status 401 {
+		/data
+		/conf
+		/bin
+		/inc
+		/vendor
+	}
+}
+</code>
 ==== Renommer le répertoire data ====
@@ Ligne 217: / Ligne 253: @@
 La façon la plus sécurisé d'empêcher l'accès aux répertoires mentionnés est de les déplacer hors du-dit "Document Root" (Racine des documents désservis) du serveur web.
+Ce n'est généralement pas nécessaire si vous avez suivi les guides ci-dessus et nécessite un peu plus de compréhension sur le fonctionnement du serveur Web et de DokuWiki. Néanmoins, c'est le moyen le plus sûr de sécuriser votre installation DokuWiki quel que soit le serveur Web utilisé.
@@ Ligne 270: / Ligne 307: @@
   * [[fr:config:hidepages]] -- cache pour certaines pages de l'indexation et de la recherche
   * [[fr:config:safemodehack]] -- contourne les restrictions du mode sans échec
+  * [[fr:config:disableactions]] -- disable certain actions, e.g. registration or view source
+  * [[fr:config:baseurl]] -- set a fixed server name the wiki should use to avoid server name spoofing attacks
@@ Ligne 292: / Ligne 331: @@
   * [[fr:install:permissions|Configuration des droits d'accès aux fichiers et répertoires]]
-  * [[fr:acl|Liste de contrôle d'accès (ACLs)]]
+  * Avec la [[fr:acl|liste de contrôle d'accès (ACLs)]] vous pouvez restreindre les pages et/ou les espaces de noms auxquels les utilisateurs ont accès. Vous pouvez accorder des autorisations de lecture et d'écriture en fonction du groupe d'utilisateurs ou des utilisateurs individuels.
   * [[tips:httpslogin|Forcer le login via HTTPS]] (en anglais)
   * [[fr:install:php|Configuration PHP pour DokuWiki]]