Htaccess Zugangsregelung: Unterschied zwischen den Versionen

Aus Linupedia.org
Wechseln zu: Navigation, Suche
K (Simple Authentifizierung im Webserver: Ergänzung)
(Weitere .htaccess-Musterkonfigurationen auf spezielle Webanwendungen bezogen: angepasst)
 
(2 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 9: Zeile 9:
  
  
Dabei stehen in der nicht im Webspace befindlichen Datei /srv/www/notinhtdocs/users die Benutzer und verschlüsselten Passwörter die mit "htpasswd <user>" bzw. zur Erstellung mit dem ersten User "htpasswd -c <ersteruser>"dort abgelegt wurden. Die Datei /srv/www/notinhtdocs/users muss natürlich für den User unter dessen Kennung (bei SUSE/openSUSE ist dies wwwrun aus der Gruppe www) lesbar sein. Man sllte sie '''nicht''' innerhalb des normalen Webspace-Verzeichnisses ablegen, da damit ggf. eine Sicherheitslücke aufgetan werden kann (d.h. jemand könnte sich über Umwege die Datei kopieren und per Brute Force probieren die Passwörter z. B. durch einen Dictionaryvergleich herauszufinden oder zumindest einen äquivalenten Hashwert je nach verwendeter Verschlüsselung zu generieren).....   
+
Dabei stehen in der nicht im Webspace befindlichen Datei /srv/www/notinhtdocs/users die Benutzer und verschlüsselten Passwörter die mit "htpasswd <user>" bzw. zur Erstellung mit dem ersten User "htpasswd -c <ersteruser>"dort abgelegt wurden. Die Datei /srv/www/notinhtdocs/users muss natürlich für den User unter dessen Kennung (bei SUSE/openSUSE ist dies wwwrun aus der Gruppe www) lesbar sein. Man sollte sie '''nicht''' innerhalb des normalen Webspace-Verzeichnisses ablegen, da damit ggf. eine Sicherheitslücke aufgetan werden kann (d.h. jemand könnte sich über Umwege die Datei kopieren und per Brute Force probieren die Passwörter z. B. durch einen Dictionaryvergleich herauszufinden oder zumindest einen äquivalenten Hashwert je nach verwendeter Verschlüsselung zu generieren).....   
  
 
--[[Benutzer:TomcatMJ|TomcatMJ]] 23:07, 27. Aug 2006 (CEST)
 
--[[Benutzer:TomcatMJ|TomcatMJ]] 23:07, 27. Aug 2006 (CEST)
  
Unter openSUSE funktioniert das mit dem Passwort:
+
Unter [[openSUSE]] funktioniert das mit dem Passwort:
 
  htpasswd2 -c .htusers benutzer
 
  htpasswd2 -c .htusers benutzer
 +
will man weitere Benutzer anlegen:
 +
htpasswd2  .htusers benutzer
  
 
Damit die obere .htacces Datei funktioniert, muss in der /etc/apache2/default-server.conf folgende Directory-Direktive für das Verzeichnis stehen:
 
Damit die obere .htacces Datei funktioniert, muss in der /etc/apache2/default-server.conf folgende Directory-Direktive für das Verzeichnis stehen:
Zeile 29: Zeile 31:
 
== Weitere .htacces Musterkonfigurationen ==
 
== Weitere .htacces Musterkonfigurationen ==
 
== Weitere .htaccess-Musterkonfigurationen auf spezielle Webanwendungen bezogen ==
 
== Weitere .htaccess-Musterkonfigurationen auf spezielle Webanwendungen bezogen ==
# [[.htaccess SEO URL Musterkonfigurationen | Für Joomla mit SEO (Search Engine Optimization)]]  
+
# [[htaccess SEO URL Musterkonfigurationen | Für Joomla mit SEO (Search Engine Optimization)]]
 
 
  
 
== Quellen und weiterführende Links ==
 
== Quellen und weiterführende Links ==

Aktuelle Version vom 13. Oktober 2007, 16:32 Uhr

Simple Authentifizierung im Webserver

Eine simple .htacces Datei:


AuthType Basic
AuthName "Admin-Zugang"
AuthUserFile /srv/www/notinhtdocs/users
require valid-user


Dabei stehen in der nicht im Webspace befindlichen Datei /srv/www/notinhtdocs/users die Benutzer und verschlüsselten Passwörter die mit "htpasswd <user>" bzw. zur Erstellung mit dem ersten User "htpasswd -c <ersteruser>"dort abgelegt wurden. Die Datei /srv/www/notinhtdocs/users muss natürlich für den User unter dessen Kennung (bei SUSE/openSUSE ist dies wwwrun aus der Gruppe www) lesbar sein. Man sollte sie nicht innerhalb des normalen Webspace-Verzeichnisses ablegen, da damit ggf. eine Sicherheitslücke aufgetan werden kann (d.h. jemand könnte sich über Umwege die Datei kopieren und per Brute Force probieren die Passwörter z. B. durch einen Dictionaryvergleich herauszufinden oder zumindest einen äquivalenten Hashwert je nach verwendeter Verschlüsselung zu generieren).....

--TomcatMJ 23:07, 27. Aug 2006 (CEST)

Unter openSUSE funktioniert das mit dem Passwort:

htpasswd2 -c .htusers benutzer

will man weitere Benutzer anlegen:

htpasswd2  .htusers benutzer

Damit die obere .htacces Datei funktioniert, muss in der /etc/apache2/default-server.conf folgende Directory-Direktive für das Verzeichnis stehen:

DocumentRoot "/srv/www/htdocs"
<Directory "/srv/www/htdocs">
 Options +FollowSymLinks
 AllowOverride All
 Order allow,deny
 Allow from all
 DirectoryIndex index.php index.html
</Directory>

Weitere .htacces Musterkonfigurationen

Weitere .htaccess-Musterkonfigurationen auf spezielle Webanwendungen bezogen

  1. Für Joomla mit SEO (Search Engine Optimization)

Quellen und weiterführende Links