Sommaire

Contrôle d’accès Serveur web:contrôle d’accès

Apache et Nginx disposent tous deux de plusieurs mécanismes pour réguler l’accès aux (parties des) sites web.

Si les données d’un site web sont assez importantes pour limiter l’accès, le chiffrement TLS n’est pas optionnel. C’est encore plus important pour la configuration décrite ici, car elle envoie les mots de passe au serveur en texte clair.

1. Apache

La directive la plus importante pour limiter l’accès en Apache est Require ; cette directive est employée pour définir les conditions qu’un utilisateur doit remplir pour être admis ou bloqué. Les lignes suivantes se trouvent dans la configuration primaire d’Apache :

<Directory /> 
  Require all denied 
</Directory> Apache:require Apache:denied

Le verbe anglais deny signifie refuser en français, donc ces lignes assurent qu’Apache n’a pas d’accès à la racine du système de fichiers (/), et donc pas non plus au reste du système de fichiers, car chaque répertoire hérite des permissions de son répertoire parent, sauf si elles sont redéfinies explicitement.

À titre d’exemple, dans les hôtes virtuels décrits précédemment, on a déjà lu la ligne suivante :

Require all granted Apache:granted

Le verbe anglais grant signifie accorder en français, ...