Apache LimitExcept dans un VirutalHost - Logiciels - Linux et OS Alternatifs
Marsh Posté le 02-01-2008 à 11:56:31
Citation : <LimitExcept> and </LimitExcept> are used to enclose a group of access control directives which will then apply to any HTTP access method not listed in the arguments; i.e., it is the opposite of a <Limit> section and can be used to control both standard and nonstandard/unrecognized methods. See the documentation for <Limit> for more details. |
Si on suit la piste on tombe sur :
Citation : The purpose of the <Limit> directive is to restrict the effect of the access controls to the nominated HTTP methods. |
Si on est bien strict dans sa logique et suffisement peu humain, on peut comprendre qu'on ne peut que restreindre les contrôles d'accès mais pas les augmenter, et donc qu'on ne peut pas poser un deny là.
Donc il te faut probablement Deny par défaut en dehors du LimitExcept et enlever le contrôle d'accès avec le LimitExcept.
La raison (si je me suis pas trompé dans mon interprétation) doit être que le système Limit/LimitExcept ne fait qu'appliquer un shunt en amont du module d'authentification et n'a aucune influence sur celui-ci et sur sa configuration, et qu'au passage ça permet au module d'authentification de ne pas avoir à connaitre le concept des methodes.
Marsh Posté le 02-01-2008 à 11:58:29
c'est contorsionné mais y'a de l'idée, je vais voir ...
Marsh Posté le 02-01-2008 à 12:04:43
<VirtualHost *> |
il refuse le deny.
J'avais une autre hypothèse : le limitExpexcept n'autorise que ce qui était autorisé dans l'englobant (<virtualhost> ), mais que les contrôles d'accès ne sont pas autorisés dans virtualHost (ce qui semble être le cas dans cette doc : http://httpd.apache.org/docs/2.0/mod/mod_access.html ).
Ce qui m'inquiète légèrement c'est que je suis le seul à me confronter à ça, tout le monde utilise mod_rewrite pour virer ces méthodes ?
Marsh Posté le 02-01-2008 à 14:09:08
http://www.apacheweek.com/issues/03-01-24#news
Citation : TRACE requests can be disabled by making a change to the Apache server configuration. Unfortunately it is not possible to do this using the Limit directive since the processing for the TRACE request skips this authorisation checking. Instead the following lines can be added which make use of the mod_rewrite module. |
chuis en train de me faire chier pour rien
Marsh Posté le 02-01-2008 à 14:19:52
C'était dans la doc que t'as pointé initialement
Citation : The TRACE method cannot be limited. |
Marsh Posté le 02-01-2008 à 14:36:12
http://httpd.apache.org/docs/2.0/m [...] raceenable
putain, c'est vraiment la loose les information sur le net, y'a de toutes les versions mélangées.
0x90 >
J'avais pas vu parce que j'ai pas regardé cette section du doc (forcément, le truc dit que Limit c'est mal, donc j'y vais pas)
Marsh Posté le 02-01-2008 à 11:33:08
Salut les jeunes,
J'essaye de virer TRACK et TRACE de mon serveur parce qu'il parait que c'est mal.
donc, j'ai tenté ma chance avec ça :
<VirtualHost *>
ServerAdmin webmaster@localhost
DocumentRoot /var/www
<LimitExcept LIST POST GET HEAD>
deny from all
</LimitExcept>
Mais j'ai pas eu de bol, il me dit qu'il veut pas d'un deny à cet endroit-là.
Donc j'ai quelques questions :
1) comment à partir de la doc http://httpd.apache.org/docs/2.0/m [...] imitexcept je peux déterminer ce que j'ai le droit de mettre dans ma balise ?
2) qu'est-ce que j'ai le droit de mettre dans cette balise ?
3) en fait c'est pas dans le Vhost, mais encore plus haut que j'aimerai le mettre, mais je sais pas comment faire (sur une ubuntu, donc le découpage de la conf est un peu strange).
merci les moules
---------------
trainoo.com, c'est fini