Apache et les fichiers de sauvegarde
Il arrive fréquement, que l'on édite des fichiers directement sur un serveur Apache, via des logiciels comme Emacs ou autres. Le problème est que ces derniers créent automatiquement des fichiers de sauvegarde, parfois consultables sous forme de fichier texte et qui peuvent donc nuire à la sécurité de votre serveur.
1. Le problème
Imaginez que vous éditez le fichier config.php, contenant des mots de passe, le fichier config.php~ sera alors créé si vous avez utilisé Emacs. Le contenu du fichier config.php ne sera pas visible si on rentre l'adresse :
http://monsite.fr/config.php
En revanche, si votre serveur Apache est mal configuré, le contenu du fichier config.php~ sera alors directement acessible via l'url :
http://monsite.fr/config.php~
2. Les solutions
La première solution, qui n'est sûrement pas la meilleure, consiste à mettre en place une crontab qui détruira régulièrement ce type de fichiers :
# On efface tous les fichiers ~ 0 1 * * * /usr/bin/find / -name "*[~]" -type f -print -exec rm -f '{}' \; > /dev/null
Une autre méthode, qui me paraît bien plus efficace, sera de reconfigurer son serveur web, en interdisant simplement l'affichage de ces fichiers de backup. Pour ce faire, on pourra ajouter les lignes suivantes dans le fichier de configuration d'Apache, /etc/httpd/conf/httpd.conf :
# On n'affiche plus le contenu des fichiers finissant par ~ <Files ~ "~$"> Order allow,deny Deny from all </Files>
5 Commentaires pour "Apache et les fichiers de sauvegarde"
Flux des commentaires de cet article Ajouter un commentaireC'est tout con comme problème de sécurité mais fallait y penser
Merci à toi !
Oui, c'est incroyable le nombre site vulnérable à cause de ça.
Sinon, il faut configurer emacs pour qu'il mette tout les fichiers de sauvegarde dans un dossier temporaire comme /tmp, du coup, plus de fichier~ partout
Ou bien alors n'utiliser que VI
nano powaaaa ^^