|
|
|
Publicité ' | |||||||||||||||||||||||
22/03/2007, 13h20
|
#1 |
|
Nouveau Membre du Club
 Inscription : août 2003 Messages : 105  |
probleme de sécurité sous IIS: une vraie passoire! J'ai besoin d'aide
Bonjour à tous.
Je dois installer un site PHP/Mysql sur un serveur IIS. J'ai accès au répertoire racine de mon site et j'ai les droits necessaires sur le serveur SQL. Le site de test est actuellement fonctionnel, mais n'est pas encore dispo pour les raisons suivantes Je constate deux problemes importants qui demandent votre aide: - le site a un nom de domaine (www.monsite.fr). Ju'qu'ici tout va bien. Le problème est que, si j'accède à ce site via l'adresse IP du serveur, ça devient la folie !  Si je rentre l'url: Code :
http://xx.xx.xx.xx/repertoireRacineDuSite/ sous IE ça affiche la page html avec le source Php non interpreté Code :
http://xx.xx.xx.xx/repertoireRacineDuSite/index.php Donc il ya un gros souci niveau sécurité, c'est comme si php n'était pas installé sur la machine: aucune interprétation, code visible en clair. Après c'est pas bien difficile de faire un ping sur le nom de domaine pour récupérer l'Ip et chopper le source soit même... Que faut-il faire svp? (sachant que le proprio du serveur, un particulier, à l'air d'y comprendre .... rien du tout :p , et je suis plus à l'aise sous apache que IIS) - Au niveau protection des répertoires, j'aimerais savoir comment faire. J'ai un répertoir dédié à l'administration du site (à la racine, je sais c pas top niveau sécurité mais j'ai pas pu faire autrement). J'aimerais donc protéger correctemen tout ça. J'ai tenté .htaccess, il n'en veut pas. Une solution php? ben à part un formulaire et une vérification CGI je n'ai pas trouvé d'autre solution... Pour le listage des répertoires, visiblement une sécurité à déjà été mise en place (impossible de lister un répertoire ne contenant pas d'index.php, mais on peut toujours accéder au contenu en indiquant dossier/fichierAuHasard.extension ) Je me trouve das une situation assez délicate et vu l'incompétance de l'admin (c'était pas mon boulot à l'origine :'( ) j'aimerais qu'on m'indique les marches à suivre pour sécuriser un peu tout ça de façon "locale" (c'est à dire sans avoir accès à la config de IIS) ou, si une intervention de l'admin est necessaire, expliquer les marches à suivre. En vous remerciant |
|
00
|
|
22/03/2007, 14h07
|
#2 |
|
Membre confirmé
 
Inscription : février 2007 Messages : 223 |
Salut
Vérifie si sur ton serveur tu as plusieurs serveur web virtuel disponible. J'imagine assez bien que tu dois en avoir au minimum deux.Un premier qui est le défault et qui écoute toute les requêtes et un deuxième configurer pour écouter uniquement les requêtes entrant avec ton nom de domaine. Si les deux serveurs ont le même répertoire root, alors lorsque tu accède ton site avec le nom de domaine, tu arrives sur le serveurs web virtuel 2, alors que si tu accèdes ton sites avec l'adresse IP, tu arrives sur le serveurs web virtuels par défaut qui n'est pas configuré pour PHP,... et donc qui te retourne les sources PHP. zzzThibaut |
|
|
00
|
|
22/03/2007, 14h46
|
#3 |
|
Nouveau Membre du Club
Inscription : août 2003 Messages : 105 |
merci bien, je viens d'envoyer un mail à l'admin avec les infos que tu m'a décrites et j'attend une réponse de sa part.
Je te tiens au courant pour la suite. Par contre, j'ai toujours le 2eme probleme à résoudre  Donc n'hésitez pas a répondre 
|
|
|
00
|
|
22/03/2007, 15h29
|
#4 |
|
Membre confirmé
Inscription : février 2007 Messages : 223 |
Pour la sécurité de tes répertoires, tu dois mettre des permissions NTFS sur le répertoire que tu veux accéder, configurer IIS pour n'accepter que NTLM comme authentification, et créer des comptes user windows pour accéder à ton répertoire. Ton Browser te demandera inévitablement un nom d'utilisateur et un mot de passe pour y accéder.
zzzThibaut |
|
|
00
|
Copyright © 2000-2012 - www.developpez.com