Objectif : Réaliser l’authentification basique Apache pour un Webdav avec une base d’utilisateurs en MySQL, et le mot de passe stocké avec un cryptage non réversible dans la base. J’ai un peu galéré dans cette affaire, les infos qu’on trouve ne sont pas forcément d’actualité, voici donc un petit topo.

On commence par installer le paquet qui va bien pour qu’Apache puisse causer gentiment à MySQL via dbd :

aptitude install libaprutil1-dbd-mysql

Ensuite on active le module d’authentification dbd :

a2enmod authn_dbd
apache2ctl restart

Création de la base sous MySQL. Pour faire simple la table utilisateurs ne comprend que 2 champs, login et pass:

CREATE DATABASE mabase CHARACTER SET UTF8;
CREATE TABLE IF NOT EXISTS `utilisateurs` ( 
      `login` varchar(255) NOT NULL,  
      `pass` varchar(255) NOT NULL,  
      UNIQUE KEY `login` (`login`)) 
      ENGINE=MyISAM DEFAULT CHARSET=utf8;

Toujours sous MySQL on crée un utilisateur « apache » avec des droits limités à la table :

CREATE USER 'apache'@'localhost' IDENTIFIED BY  'secret';
GRANT SELECT ON  `mabase`.`utilisateurs` TO  'apache'@'localhost';

Ensuite on remplit la table MySQL et c’est là qu’il faut faire les bons choix pour le cryptage du mot de passe et ne pas se gourer. Apache reconnait 4 formats de mots de passe : PLAIN TEXT, CRYPT, SHA1 et MD5.
PLAIN TEXT est clairement à éviter, SHA1 et MD5 sont les plus robustes. Entre les deux SHA1 serait potentiellement le meilleur sauf que l’implémentation Apache est à priori faiblarde (pas de « grain de sel ») donc j’ai retenu MD5, mais ça reste un choix qu’on peut discuter le soir au coin du feu.

En tout cas, et quel que soit le cryptage choisi, la première chose à ne pas faire c’est d’utiliser les fonctions de cryptage de MySQL (password, MD5, SHA1), c’est complètement incompatible avec l’authentification Apache. Une fois qu’on a compris ça on a fait un grand pas!

On va donc générer en bash le hash MD5 du mot de passe avec l’utilitaire htpasswd fourni par Apache et l’enregistrer dans la base (la fonction htpasswd a surement été portée dans votre langage préféré).

Le cryptage est en MD5 par défaut, les options -n et -b permettent respectivement de rediriger le résultat vers la sortie standard et d’utiliser le mode batch :

mysql -u admin -p -e "INSERT INTO utilisateurs (login, pass) VALUES ( \
     "\""robert"\"", \
     "\""$(htpasswd -nb robert secret |cut -d ':' -f 2)"\"")" mabase

On met ensuite à jour le Virtual Host pour qu’Apache puisse aller chercher les infos d’identification dans la base :

<VirtualHost *:80>
	ServerName webdav.mondomaine.org
	DocumentRoot /var/www/webdav
	...
	DBDriver mysql
	DBDParams "socket=/var/run/mysqld/mysqld.sock dbname=mabase user=apache pass=secret"
	DBDMin  4
	DBDKeep 8
	DBDMax  20
	DBDExptime 300
	...
	<Directory /var/www/webdav>
		...
		AuthName "Webdav"
		AuthType Basic
		AuthBasicProvider dbd
		# Requete SQL pour l'authentification
		AuthDBDUserPWQuery "SELECT pass FROM utilisateurs WHERE login = %s" 
		Require valid-user
	</Directory>
	...
</VirtualHost>

et on redémarre Apache :

apache2ctl restart

Liens

PHP : Comparaison MD5 / SHA-1

GnuPG est préinstallé sous Debian et Ubuntu ainsi qu’avec la majorité des distributions Linux je crois. Le projet Gpg4win fournit un programme d’installation pour Windows qui inclus GnuPG et différents modules complémentaires. Les commandes de gpg sont les mêmes dans les différents environnements. GnuPG est avant tout un logiciel de cryptage asymétrique (clé publique – clé privée) et son domaine de prédilection est la transmission sécurisée d’information entre utilisateurs. Mais on peut aussi s’en servir pour faire du cryptage simple, c’est ce qu’on va voir ici.

Le problème à résoudre est le suivant :

Un utilisateur gère sur son poste de travail des informations confidentielles. L’accès au poste de travail étant protégé, on estime la sécurité suffisante sur le poste (ça pourrait se discuter mais c’est pas le sujet). Par contre les sauvegardes sont effectuées sur un serveur dont l’accès est public. On ne peut donc pas y sauvegarder les données confidentielles en l’état.

La solution va être de crypter les données avant de les sauvegarder, voilà comment :

Génération d’un paire de clés :

gpg --gen-key
gpg (GnuPG) 1.4.7; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
Please select what kind of key you want:
(1) DSA and Elgamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
Your selection? 1
DSA keypair will have 1024 bits.
ELG-E keys may be between 1024 and 4096 bits long.
What keysize do you want? 2048
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n>  = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? 0
Key does not expire at all
Is this correct? (y/N) y
You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
Real name: Michel
Email address: michel@martin.com
Comment:
You selected this USER-ID:
"Michel <michel@martin.com>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
You need a Passphrase to protect your secret key.
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
+++++++++++++++.+++++.+++++.+++++.+++++..+++++.+++++++++++++++++++++++++..++++++
+++>++++++++++>+++++>..+++++....................................................
.............................................+++++^^^
gpg: key 62757D49 marked as ultimately trusted
public and secret key created and signed.
gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
pub   1024D/62757D49 2007-11-12
Key fingerprint = 9B05 2259 683C 70CC D73C  3E47 816C 06FE 6275 7D49
uid                  Michel <michel@martin.com>
sub   2048g/5589D5F6 2007-11-12

Ca y est on a notre paire de clés. Attention à ne pas oublier la « passphrase », il n’y a aucun moyen de la récupérer. Elle n’est pas nécessaire pour crypter, mais sera demandée au décryptage. On peut mettre une passphrase vide, mais la sécurité est moindre.

L’étape suivante est de sauvegarder la clé privée, et la conserver en lieu sûr!!! :

gpg --export-secret-keys -a michel > michel.sec

Crypter le fichier confidentiel.doc :

gpg gpg -e -r Michel confidentiel.doc

Cette commande crée le fichier crypté confidentiel.doc.gpg qui peut être stocké sans crainte sur des serveurs publics, tant que la clé privée n’est pas compromise.

Pour décrypter sur le poste qui contient les clés (la passphrase est demandée) :

gpg confidentiel.doc.gpg

Pour décrypter sur un autre poste il faut d’abord importer la clé privée :

gpg --import michel.sec

Voilà, c’est juste un aperçu rapide d’une application pratique du cryptage avec gpg.