Htaccess Zugangsregelung: Unterschied zwischen den Versionen
K (→Simple Authentifizierung im Webserver: Stilistische korrektur das Directory<->die Directory Direktive<->das Verzeichnis) |
K (→Simple Authentifizierung im Webserver: Ergänzung) |
||
Zeile 9: | Zeile 9: | ||
− | Dabei stehen in der nicht im Webspace befindlichen Datei /srv/www/notinhtdocs/users die Benutzer und verschlüsselten Passwörter die mit "htpasswd <user>" bzw. zur Erstellung mit dem ersten User "htpasswd -c <ersteruser>"dort abgelegt wurden. | + | Dabei stehen in der nicht im Webspace befindlichen Datei /srv/www/notinhtdocs/users die Benutzer und verschlüsselten Passwörter die mit "htpasswd <user>" bzw. zur Erstellung mit dem ersten User "htpasswd -c <ersteruser>"dort abgelegt wurden. Die Datei /srv/www/notinhtdocs/users muss natürlich für den User unter dessen Kennung (bei SUSE/openSUSE ist dies wwwrun aus der Gruppe www) lesbar sein. Man sllte sie '''nicht''' innerhalb des normalen Webspace-Verzeichnisses ablegen, da damit ggf. eine Sicherheitslücke aufgetan werden kann (d.h. jemand könnte sich über Umwege die Datei kopieren und per Brute Force probieren die Passwörter z. B. durch einen Dictionaryvergleich herauszufinden oder zumindest einen äquivalenten Hashwert je nach verwendeter Verschlüsselung zu generieren)..... |
--[[Benutzer:TomcatMJ|TomcatMJ]] 23:07, 27. Aug 2006 (CEST) | --[[Benutzer:TomcatMJ|TomcatMJ]] 23:07, 27. Aug 2006 (CEST) |
Version vom 12. Juni 2007, 14:33 Uhr
Inhaltsverzeichnis
Simple Authentifizierung im Webserver
Eine simple .htacces Datei:
AuthType Basic AuthName "Admin-Zugang" AuthUserFile /srv/www/notinhtdocs/users require valid-user
Dabei stehen in der nicht im Webspace befindlichen Datei /srv/www/notinhtdocs/users die Benutzer und verschlüsselten Passwörter die mit "htpasswd <user>" bzw. zur Erstellung mit dem ersten User "htpasswd -c <ersteruser>"dort abgelegt wurden. Die Datei /srv/www/notinhtdocs/users muss natürlich für den User unter dessen Kennung (bei SUSE/openSUSE ist dies wwwrun aus der Gruppe www) lesbar sein. Man sllte sie nicht innerhalb des normalen Webspace-Verzeichnisses ablegen, da damit ggf. eine Sicherheitslücke aufgetan werden kann (d.h. jemand könnte sich über Umwege die Datei kopieren und per Brute Force probieren die Passwörter z. B. durch einen Dictionaryvergleich herauszufinden oder zumindest einen äquivalenten Hashwert je nach verwendeter Verschlüsselung zu generieren).....
--TomcatMJ 23:07, 27. Aug 2006 (CEST)
Unter openSUSE funktioniert das mit dem Passwort:
htpasswd2 -c .htusers benutzer
Damit die obere .htacces Datei funktioniert, muss in der /etc/apache2/default-server.conf folgende Directory-Direktive für das Verzeichnis stehen:
DocumentRoot "/srv/www/htdocs" <Directory "/srv/www/htdocs"> Options +FollowSymLinks AllowOverride All Order allow,deny Allow from all DirectoryIndex index.php index.html </Directory>
Weitere .htacces Musterkonfigurationen
Weitere .htaccess-Musterkonfigurationen auf spezielle Webanwendungen bezogen