Manual:Securing database passwords/fr

LocalSettings.php contient par défaut les identifiants et mots de passe MySQL de la base de données. Garder ces identifiants dans LocalSettings.php est risqué, car sous certaines rares conditions, les fichiers PHP peuvent être servies en tant que texte brut, révélant ces identifiants au monde entier:

Description de l'exploit.
 * PHP est désactivé sur le serveur
 * PHP est cassé
 * Vous avez le script CGI search.pl (un script de recherche très courant) quelque part sur ce domaine.

Si dans ces rares cas, vous souhaitez garder vos noms d'utilisateurs et mots de passe MySQL secrets, alors ils ne devraient pas faire partie du fichier LocalSettings.php.



Garder les mots de passe MySQL en dehors des fichiers web
Vous ne devriez jamais mettre vos mots de passe MySQL dans un fichier texte inclus dans la racine web. Vous pouvez l'éviter en faisant ainsi:


 * #Créer un dossier hors de votre racine web. Par exemple, si votre site web est situé à "/htdocs/www-wiki", créez un répertoire appelé "external_includes" en dehors de votre racine web :
 * mkdir /external_includes
 * #Créez un fichier dans le répertoire que vous venez de créer, appelé le quelque chose comme "mysql_pw.php" et placez une variable sur une ligne séparée pour chacun de vos nom d'utilisateur, mot de passe, nom d'hôte et nom de base de données mysql, chaque variable étant définie sur les valeurs réelles. Par exemple, en utilisant nano comme éditeur :
 * nano /external_includes/mysql_pw.php
 * ##Tapez les lignes suivantes en utilisant les valeurs réelles, bien sûr à la place de "mysql_" entre crochets :


 * ##Veillez à ne laisser aucun espace (lignes vides) après le texte.
 * ##Enregistrez et fermez le fichier. Avec nano c'est : Ctrl–O et Ctrl–X

Vérifiez auprès de votre fournisseur d'accès quel est l'utilisateur du serveur web (cela varie, par exemple "apache", "nobody","httpd"). Cela varie et les exemples incluent "apache", "www-data", "nobody", "httpd". Définissez ensuite les autorisations pour le fichier de mots de passe de cette manière :


 * chgrp apache mysql_pw.php
 * chmod 640 mysql_pw.php (supprime les droits d'accès des autres et les droits d'écriture du serveur web)
 * (probablement répéter avec g-rxw ... pour LocalSettings.php )
 * assurez-vous que u sois r (ou chmod 400 LocalSettings.php)

Modifiez votre fichier LocalSettings.php et ajoutez la ligne suivante au début du fichier :


 * Supprimez maintenant ces variables de LocalSettings.php :

$wgDBserver $wgDBname $wgDBuser $wgDBpassword

De cette façon, si quelqu'un est capable d'accéder et d'afficher LocalSettings.php, tout ce qu'ils verront, ce sont des paramètres plutôt que le mot de passe, le nom d'utilisateur, etc. de votre base de données mysql et le vrai fichier contenant ces informations sont bloquées sur le serveur web. Vous devez toujours vous assurer que LocalSettings.php est en lecture seule pour l'utilisateur apache comme décrit ci-dessus.



Voir aussi

 * The setting for sending emails contains user name and password. It can be secured in the same way