Linux Apache 2 .htaccess

[Jared566]

Hallo Leute,

Ich hoffe ihr habt ahnung davon, denn ich verzweifel langsam ^^

Also mein Vorhaben:

Ich habe einen Linux Server auf dem der Apache 2.2 läuft. Nun möchte ich einen geschützten Web-Bereich schaffen, wo man sich zuerst authentifizieren muss.

Unter Windows ist das kein Problem, man erstellt einfach eine .htaccess in dem Ordner den man schützen möchte, schreibt dort folgendes rein:

AuthType Basic
AuthName "Password Required"
AuthUserFile c:/password.file
Require valid-user

speicher dies ab und erstellt dann noch eine password.file unter c:\ und mit der htacces.exe im apache Ordner erstellt man dann noch benutzer und Passwort.

Doch unter Linux will das einfach nicht klappen. Ich habe den Ordner, habe auch die .htacces darin, habe das password.file mit htpasswd erstellt und dort ist acuh ein benutzer drin, doch ich muss mich immernoch nciht authentifizieren.

Im Internet steht, das ich AllowOverride auf AuthConfig stellen muss, doch leider finde ich nirgens in den Konfigurationsdateien von Apache solch einen Eintrag. Auch das Hinzufügen des eintrags in die apache2.conf (ist ja unter linux nicht die httpd.conf) brachte keinen erfolg, eher das sich der webserver nicht mehr starten lässt, da dieser eintrag doch nciht stehen darf.

Ich hoffe ihr könnt mir helfen ^^

Mfg Jared

 

[bingo88]

Ich habe sowas bei mir unter /etc/apache2/sites-enabled/000-default
bzw. /etc/apache2/sites-available/default (Ubuntu Server 9.10) stehen. Das wäre jetz ne config ohne .htaccess. Du könntest aber auf .htaccess umstellen, wenn du AllowOverride auf AuthConfig umstellst und den ganzen Auth-Kram in die htaccess packst (siehe dazu aber besser auch die Apache Doku ^^)

<Directory /var/www/ordner/>
                Options +Indexes
                AllowOverride None
                AuthType Basic
                AuthName "Login required"
                AuthUserFile /etc/apache2/auth/users    <- Beispielpfade!!!
                AuthGroupFile /etc/apache2/auth/groups
                Require Group gruppe01
                Order deny,allow
                allow from all
</Directory>

 

[Jared566]

Hey genau das habe ich gesucht, danke

Doch bei mir wird der Ordner dann nicht mehr im Index angezeig... Doch wenn ich die URL eingebe zum Ordner, muss ich mich anmelden

Wie bekomme ich es nun noch hin, das der Angezeigt wird?

Mfg Jared

 

[bingo88]

Also du meinst wenn das hier dein index wäre?

ordnerA
ordnerB
<ordnerC fehlt>
DateiA.dat
DateiB.dat
...

Ich bin mirnicht 100% sicher, aber der Apache bekommt beim Auflisten wahrscheinlich keinen Zugriff auf das gesperrte Verzeichnis. Ich habe dazu aber auch leider keine näheren Informationen gefunden (weder auf der Apache HP, noch bei google...)

 

[Jared566]

ich nehme mal an das ist ein Sicherheits-Feature.. Wenn niemand sieht, das dort ein Order ist, der PW geschützt ist, kann ihn auch niemand versuchen zu hacken

Mfg Jared

 

[bingo88]

ich nehme mal an das ist ein Sicherheits-Feature.. Wenn niemand sieht, das dort ein Order ist, der PW geschützt ist, kann ihn auch niemand versuchen zu hacken

Mfg Jared

Das würde ich jetzt auch mal annehmen. Ich kann dir aus eigener Erfahrung sagen, dass du auch bestimmte PHP-Ordner bei ihren Standardnamen lassen solltest, zum Bsp. PhpMyAdmin nicht auf über /phpmyadmin oder /pma etc. Es gibt nämlich ne menge Rechner around the world, die mittels netter Scripts versuchen, Sicherheitslücken in gewissen Versionen dieser Programme auszunutzen. Dazu probieren die gängige Ordnernamen in der URL durch. Ich hatte in der Woche bestimmt 5.000 bis 6.000 solcher (fehlgeschlagener) Anfragen in meinen Logs. Also nenn die Ordner um! Und falls du SSH nutzt: Nicht auf dem Standardport ins Netz lauschen! Da bekommst du gleich noch mehr Anfragen drauf

Übrigens kamen bei mir 80% der Anfragen aus China