1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
|
<?xml version="1.0" encoding="ISO-8859-1" ?>
<!DOCTYPE manualpage SYSTEM "./style/manualpage.dtd">
<?xml-stylesheet type="text/xsl" href="./style/manual.fr.xsl"?>
<!-- English Revision : 507346 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<!--
Licensed to the Apache Software Foundation (ASF) under one or more
contributor license agreements. See the NOTICE file distributed with
this work for additional information regarding copyright ownership.
The ASF licenses this file to You under the Apache License, Version 2.0
(the "License"); you may not use this file except in compliance with
the License. You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<manualpage metafile="dns-caveats.xml.meta">
<title>Problèmes liés au DNS avec Apache</title>
<summary>
<p>Cette page pourrait se résumer ainsi : configurez Apache de façon
à ce qu'il n'ait pas besoin de résolution DNS pour interpréter les
fichiers de configuration. Si Apache doit effectuer des résolutions
DNS pour interpréter les fichiers de configuration, votre serveur
pourra présenter des problèmes de fiabilité (en d'autres termes,
il est possible qu'il refuse de démarrer), ou d'attaques par déni ou
usurpation de service (y compris le détournement d'informations
utilisateurs).</p>
</summary>
<section id="example">
<title>Un exemple simple</title>
<example>
# Cet exemple de configuration est invalide, ne l'utilisez pas comme base <br />
# de configuration <br />
<VirtualHost www.abc.dom> <br />
ServerAdmin webgirl@abc.dom <br />
DocumentRoot /www/abc <br />
</VirtualHost>
</example>
<p>Pour fonctionner correctement, Apache a absolument besoin de deux
informations à propos de chaque serveur virtuel : le nom du serveur
défini par la directive <directive
module="core">ServerName</directive>, et au moins une adresse IP à
laquelle le serveur va se rattacher et répondre. L'exemple ci-dessus
ne comporte pas d'adresse IP, si bien qu'Apache devra utiliser le
DNS pour trouver l'adresse IP de <code>www.abc.dom</code>. Si pour
une raison quelconque, le DNS n'est pas disponible au moment où
votre serveur interprète son fichier de configuration, ce serveur
virtuel <strong>ne sera pas pris en compte dans la
configuration</strong>. Il sera incapable de
répondre à toute requête pour ce serveur virtuel (avec les versions
d'Apache antérieures à 1.2, le serveur ne démarrera tout simplement
pas).</p>
<p>Supposons que l'adresse de <code>www.abc.dom</code> soit
192.0.2.1, et examinons cet extrait de configuration :</p>
<example>
# Cet exemple de configuration est invalide, ne l'utilisez pas comme base <br />
# de configuration <br />
<VirtualHost 192.0.2.1> <br />
ServerAdmin webgirl@abc.dom <br />
DocumentRoot /www/abc <br />
</VirtualHost>
</example>
<p>Cette fois, Apache doit effectuer une recherche DNS inverse pour
trouver le nom <code>ServerName</code> de ce serveur virtuel. Si
cette recherche inverse échoue, le serveur virtuel sera
partiellement désactivé (avec les versions d'Apache antérieures à
1.2, le serveur ne démarrera tout simplement pas). Si le serveur
virtuel est à base de nom, il sera en fait totalement désactivé,
mais s'il est à base d'adresse IP, il fonctionnera probablement.
Cependant, Apache échouera s'il doit générer une URL complète pour
le serveur qui inclut ce nom de serveur.</p>
<p>Voici un extrait de configuration qui permet d'éviter ces deux
types de problèmes :</p>
<example>
<VirtualHost 192.0.2.1> <br />
ServerName www.abc.dom <br />
ServerAdmin webgirl@abc.dom <br />
DocumentRoot /www/abc <br />
</VirtualHost>
</example>
</section>
<section id="denial">
<title>Déni de service</title>
<p>Il existe (au moins) deux formes possibles de déni de service. Si
vous utilisez une version d'Apache antérieure à 1.2, votre serveur
ne démarrera pas si une des deux recherches DNS mentionnées
ci-dessus échoue pour au moins un de vos serveurs virtuels. Dans
certains cas, cette recherche DNS ne sera même pas sous votre
contrôle ; par exemple, si <code>abc.dom</code> est un de vos
clients et s'il gère son propre DNS, il peut empêcher votre
serveur (pre-1.2) de démarrer, simplement en supprimant
l'enregistrement <code>www.abc.dom</code>.</p>
<p>La deuxième forme de déni de service est beaucoup plus subtile.
Examinons cet extrait de configuration :</p>
<example>
<VirtualHost www.abc.dom><br />
<indent>
ServerAdmin webgirl@abc.dom<br />
DocumentRoot /www/abc<br />
</indent>
</VirtualHost><br />
<br />
<VirtualHost www.def.dom><br />
<indent>
ServerAdmin webguy@def.dom<br />
DocumentRoot /www/def<br />
</indent>
</VirtualHost>
</example>
<p>Supposons que vous avez assigné 192.0.2.1 à
<code>www.abc.dom</code> et 192.0.2.2 à <code>www.def.dom</code>. En
outre, supposons que <code>def.dom</code> gère son propre DNS. Avec
cette configuration, <code>def.dom</code> sera en mesure de
détourner tout trafic destiné à <code>abc.dom</code>. Pour y
parvenir, tout ce qu'ils ont à faire consiste à assigner 192.0.2.1 à
<code>www.def.dom</code>. Comme ils gèrent leur propre DNS, vous ne
pouvez pas les empêcher de faire pointer l'enregistrement
<code>www.def.dom</code> vers l'adresse qu'ils veulent.</p>
<p>Les requêtes à destination de 192.0.2.1 (y compris toutes celles
où l'utilisateur à tapé une URL de la forme
<code>http://www.abc.dom/quelquepart</code>), seront toutes servies
par le serveur virtuel <code>def.dom</code>. Une meilleur
compréhension de la raison pour laquelle ceci peut se produire
nécessite une discussion plus approfondie à propos de la manière
dont Apache associe les requêtes entrantes aux différents serveurs
virtuels qui vont les servir. Un document de base décrivant ceci <a
href="vhosts/details.html">est disponible</a>.</p>
</section>
<section id="main">
<title>L'adresse du "serveur principal"</title>
<p>L'addition du <a href="vhosts/name-based.html">support des
serveurs virtuels à base de nom</a> dans la version 1.1 d'Apache
oblige ce dernier à connaître la/les adresse(s) IP de l'hôte sur
lequel <program>httpd</program> s'exécute. Pour obtenir cette
adresse, soit il utilise la directive <directive
module="core">ServerName</directive> globale (si elle est présente),
soit il fait appel à la fonction C <code>gethostname</code> (qui
doit renvoyer le même nom que la commande shell "hostname"). Il
effectue ensuite une recherche DNS sur cette adresse. Pour le
moment, il n'existe aucun moyen d'éviter cette recherche DNS.</p>
<p>Si vous craignez que cette recherche DNS échoue parce que votre
serveur DNS est arrêté, vous pouvez insérer le nom d'hôte dans le
fichier <code>/etc/hosts</code> (où il est probablement déjà
enregistré afin que la machine démarre correctement). Assurez-vous
ensuite que la machine est configurée pour utiliser
<code>/etc/hosts</code> dans le cas où la recherche DNS échoue.
Suivant le système d'exploitation que vous utilisez, vous y
parviendrez en éditant <code>/etc/resolv.conf</code>, ou
<code>/etc/nsswitch.conf</code>.</p>
<p>Si votre serveur n'a aucune autre raison d'effectuer des
recherches DNS, vous pouvez définir la variable d'environnement
<code>HOSTRESORDER</code> à "local", et vous serez alors en mesure
d'exécuter Apache. Tout dépend du système d'exploitation et des
bibliothèques de résolution de noms que vous utilisez. Elle affecte
aussi les programmes CGI, à moins que vous n'utilisiez
<module>mod_env</module> pour contrôler l'environnement. Il est
conseillé de consulter les pages de manuel ou les FAQs de votre
système d'exploitation.</p>
</section>
<section id="tips">
<title>Conseils pour éviter ce genre de problème</title>
<ul>
<li>
utilisez des adresses IP au sein des <directive
module="core">VirtualHost</directive>
</li>
<li>
utilisez des adresses IP avec la directive <directive
module="mpm_common">Listen</directive>
</li>
<li>
vérifiez que tous les serveurs virtuels possèdent un nom
<directive module="core">ServerName</directive> explicite
</li>
<li>créez un serveur virtuel <code><VirtualHost
_default_:*></code> qui n'a aucune page à servir</li>
</ul>
</section>
<section id="appendix">
<title>Appendice : orientations pour le futur</title>
<p>La situation concernant le DNS apparaît clairement comme non
souhaitable. Avec Apache 1.2, nous avons fait en sorte que le
serveur puisse au moins démarrer en cas d'échec de recherche DNS,
mais ce n'est pas ce que nous pouvons faire de mieux. En tout état
de cause, le fait de devoir spécifier des adresses IP explicites
dans les fichiers de configuration est fortement non souhaitable
avec l'Internet d'aujourd'hui où les changements de numérotation
sont une nécessité.</p>
<p>Il est possible d'éviter les attaques par usurpation de service
décrites ci-dessus en effectuant une recherche DNS inverse sur
l'adresse IP renvoyée par la recherche DNS directe et en comparant
les deux noms -- en cas de non correspondance, le serveur virtuel
serait désactivé. Ceci nécessite cependant une configuration
correcte du DNS inverse (ce avec quoi les administrateurs sont
familiers à cause de l'utilisation courante des doubles recherches
DNS inverses par les serveurs FTP et les TCP wrappers).</p>
<p>En tout état de cause, il ne semble pas envisageable de démarrer
de manière fiable un serveur web avec serveurs virtuels losqu'une
recherche DNS a échoué, sauf si l'on utilise des adresses IP. Les
solutions partielles consistant à désactiver des portions de
configuration pourraient s'avérer pires que ne pas démarrer du tout
; tout dépend de ce que le serveur est supposé faire.</p>
<p>Au fur et à mesure du déploiement de HTTP/1.1, et comme les
navigateurs et les mandataires commencent à générer l'en-tête
<code>Host</code>, il devient possible d'envisager de se passer
complètement des serveurs virtuels à base d'adresses IP. Dans ce
cas, un serveur web n'a besoin d'aucune recherche DNS pendant
l'interprétation de ses fichiers de configuration. Cependant, au
mois de mars 1997, ces fonctionnalités n'ont pas été assez largement
déployées pour être utilisées sur des serveurs web critiques.</p>
</section>
</manualpage>
|
