Fichiers log

pas les logs, ces
fichiers peuvent contenir des informations
permettant de nuire à  d’autres systèmes.
Il faut donc prendre des précautions
supplémentaires pour protéger les
fichiers log.

Il n’est pas simple de sécuriser les fichiers
log. Vous voulez que le compte
System – le contexte utilisateur d’IIS –
soit capable d’écrire des logs Web, de
leur ajouter des données et de créer de
nouveaux répertoires log quand vous
ajoutez des sites Web. Le compte System
est le seul compte qui devrait avoir un
accès Write à  ces répertoires et seul l’administrateur
ou l’utilisateur chargé de
gérer les fichiers log ou d’exécuter les
programmes statistiques du Web devrait
pouvoir lire les logs du Web.

Le compte System devrait pouvoir
créer des fichiers et des répertoires
mais pas modifier les fichiers existants.
Pour cela, définissez deux paramètres
ACL pour le répertoire LogFiles – un
pour les sous-répertoires (conteneurs)
et un pour les fichiers (objets).

Tout d’abord, faites un clic droit sur
le répertoire des fichiers log, sélectionnez
Properties puis l’onglet Security.
Enlevez l’option Allow inheritable permissions
from parent to propagate to
this object, puis cliquez sur Remove
pour travailler avec une situation
propre et nette. Cliquez sur Advanced,
cliquez sur Add, puis sélectionnez le
compte System dans la liste. Une boîte
de dialogue vous invitera à  définir les
permissions. Dans la liste déroulante
Apply onto, sélectionnez Files Only
puis cochez la case pour les permissions
suivantes : Read Attributes, Create
Folders/Append Data, Write Attributes,
et Read Permissions.

Cliquez sur OK puis sur Add.
Sélectionnez le compte System à  nouveau
et cliquez sur OK. Quand la boîte
de dialogue des permissions apparaît,
sélectionnez This folder and subfolders
dans la liste déroulante Apply
onto. Sélectionnez les permissions suivantes
: List Folder, Read Attribute,
Create Files/Write Data, Create
Folders/Append Data, Write Attributes
et Read Permissions.