Serveur web (Apache/Nginx) - Avancé

www.example.com

Afin de rafraîchir les connaissances acquises dans les chapitres précédents, l’hôte virtuel www.example.com est d’abord créé. Pour cela, il faut suivre les étapes suivantes.

Alias DNS

Le nom www(.example.com) est un alias pour le nom d’hôte vert(.example.com). Pour cela, un enregistrement CNAME est créé, le numéro de série du fichier zone est incrémenté et la configuration named est rechargée.

Utilisateur

Le PHP-FPM sera exécuté sous le nom www-www. Le groupe primaire de cet utilisateur s’appelle également www-www et son répertoire personnel est /srv/www/www.example.com, mais ce répertoire n’est pas encore créé. L’utilisateur n’a pas de shell par défaut et n’appartient pas à des groupes supplémentaires. 

Répertoires

Le répertoire de base pour cet hôte virtuel est :  /srv/www/www.example.com. Dans ce répertoire se trouvent les sous-répertoires alias, bin, cgi-bin, conf, htdocs et tmp. Ceux-ci appartiennent à l’utilisateur devweb et au groupe devweb. On attribue le droit de lecture au serveur web et au PHP-FPM à l’aide des ACL ; de plus, on attribue au PHP-FPM le droit de modification pour le sous-répertoire tmp.

PHP-FPM

Le PHP-FPM est configuré...

CGI (Common Gateway Interface)

CGI est une interface permettant au serveur web d’exécuter des applications de ligne de commande et des scripts, et de présenter le résultat à l’utilisateur (à ne pas confondre avec la Computer-generated Imagery ou effets spéciaux numériques). Le PHP-FPM (PHP FastCGI Process Manager) décrit plus tôt est une variante de CGI, optimisée pour exécuter du code PHP.

Les scripts ou applications à exécuter par le serveur web sont installés dans un répertoire nommé cgi-bin (Common Gateway Interface Binaries). Au lieu de présenter les fichiers de ce répertoire aux visiteurs, le serveur web exécute les scripts ou applications et présente leur résultat (le flux STDOUT) aux visiteurs.

Le format du résultat des applications et scripts concernés doit répondre aux exigences suivantes :

<en-têtes HTTP> 
<ligne blanche> 
<contenu> 

Voici un exemple d’un script CGI très petit et simple :

#!/bin/sh 
 
echo "Content-Type: text/html" 
echo 
echo "<h1>Ça fonctionne !</h1>" 

Si ce script est enregistré dans le cgi-bin de www.example.com sous le nom test.sh et que le serveur web a le droit d’exécution, alors l’adresse...

Alias

Il est possible qu’un site web soit étalé sur plusieurs emplacements sur le serveur. Un exemple d’une telle configuration est un serveur qui héberge plusieurs sites web similaires, dont les images ont été enregistrées de façon centralisée. Un autre exemple est un site web fait maison www.example.com, où l’adresse www.example.com/wiki propose un wiki qui n’est pas fait maison. Dans ce cas, il est judicieux de séparer complètement le code du site web du code du wiki, de sorte que, d’une part, le wiki puisse être facilement mis à jour vers une nouvelle version, sans risque pour le site web, et que, d’autre part, cela empêche un développeur propriétaire de bricoler le code du wiki.

Apache et Nginx disposent tous deux d’un mécanisme simple pour présenter ces répertoires distincts aux visiteurs dans le cadre du site. La directive s’appelle Alias sur les deux serveurs.

<VirtualHost *:443> 
    ServerName www.example.com 
 
    # L'Alias réfère à un chemin absolu 
    # quelque part dans le système de fichiers. 
    Alias "/images" "/srv/www/toutes_les_images" 
 
    # Évidemment, à part les permissions définies 
    # ci-dessous, Apache a aussi besoin d'un accès à ce 
    # répertoire au niveau du système de fichiers. 
    <Directory...

Contrôle d’accès

Apache et Nginx disposent tous deux de plusieurs mécanismes pour réguler l’accès aux (parties des) sites web.

Si les données d’un site web sont assez importantes pour limiter l’accès, le chiffrement TLS n’est pas optionnel. C’est encore plus important pour la configuration décrite ici, car elle envoie les mots de passe au serveur en texte clair.

<Directory /> 
  Require all denied 
</Directory> 

Require all granted 

Require ip 192.0.2.125 203.0.113.12 

WebDAV

Le WebDAV (en anglais : Web-based Distributed Authoring and Versioning, rédaction et versionnage distribués sur le web) est une extension du HTTP, l’Hypertext Transfer Protocol, qui permet de créer, modifier, enregistrer, déplacer et supprimer des fichiers en ligne. Un grand nombre de services de stockage en ligne emploie le WebDAV, et la majorité des systèmes d’exploitation modernes, dont les smartphones et les tablettes, le supporte. La plupart des gestionnaires de fichiers (Windows Explorateur, Finder, Nautilus, Dolphin, PCManFM…) sait accéder aux emplacements WebDAV, et les applications de bureau comme LibreOffice, OpenOffice et Microsoft Office savent se servir de WebDAV pour ouvrir, modifier et enregistrer des documents.

Cela fait de WebDAV un moyen idéal pour le stockage et le partage en ligne des fichiers, ce qui le rend indispensable pour un serveur internet moderne. Mais, évidemment, le partage est optionnel : une petite modification de la configuration décrite ci-dessous permet de créer des répertoires WebDAV personnels pour, par exemple sauvegarder les fichiers des smartphones.

Il existe plusieurs implémentations des serveurs WebDAV, développées dans des langages de programmation divers. Les implémentations évoquées ici sont des modules pour les serveurs web déjà installés.

Même si cela fait du serveur WebDAV un hôte virtuel ou un serveur virtuel normal, dans le système de fichiers le serveur WebDAV (lecture et écriture) sera séparé des sites web (lecture seule). Évidemment, cela n’est pas obligatoire : le Filesystem Hierarchy Standard affirme explicitement que l’administrateur système est complètement libre dans l’organisation de l’arborescence sous /srv.

Pour assurer que seul le serveur web a le droit de modification dans ces répertoires, il est le propriétaire de cette arborescence et aucun autre droit n’est attribué à l’aide des ACL.

# mkdir -p /srv/dav/dav.example.com/{conf,htdocs,tmp} 
# chmod -R 0751 /srv/dav 
# chmod 2770 /srv/dav/dav.example.com/* 
 
freebsd# chown www:www /srv/dav/dav.example.com/* 
 
debian# chown www-data:www-data /srv/dav/dav.example.com/* 
 
centos+apache#...

Journaux et statistiques

Quiconque gère un site web veut savoir combien de visiteurs ce site reçoit, d’où ils viennent, quelles sont les heures de pointe, comment les visiteurs naviguent sur le site, etc., mais aussi où se trouvent les points chauds et quelles requêtes ont abouti en erreur 404 (Fichier introuvable).

Et, bien que toutes ces informations puissent être récupérées à partir des fichiers journaux du serveur web dans le répertoire /var/log, et qu’il soit certainement conseillé de les parcourir régulièrement (par exemple chaque semaine) pour identifier et résoudre les problèmes, ces fichiers journaux ne sont pas vraiment conviviaux pour un usage quotidien. Il est plus pratique et agréable d’utiliser un logiciel spécialisé qui collecte ces informations, les agrège et sait les présenter de différentes manières.

AWStats et Webalizer sont deux applications qui essayent de rendre plus compréhensibles les données de ces fichiers journaux. Ces applications importent les fichiers journaux du serveur web et génèrent des fichiers statiques HTML qui catégorisent les données et les affichent de façon plus graphique.

Les applications indiquées sont surtout orientées vers les administrateurs des serveurs web. Les départements...

Applications web clés en main

À la fin de ce chapitre, un certain nombre d’applications web intéressantes pour un serveur internet sont mentionnées. Ceci n’est qu’une toute petite sélection d’un nombre quasiment infini d’applications disponibles et cette sélection ne vise qu’à donner une idée des possibilités.

L’installation et l’utilisation de ces applications ne sont pas détaillées. En revanche, ces sujets sont abordés plus en détail sur les sites web de ces applications, dont les liens se trouvent dans les fichiers en téléchargement disponibles avec ce livre.