.htaccess komplett deaktivieren | Apache 2.4

Mutti

Member
Hallo,

ich möchte gerne die die Verwendung von .htaccess-Dateien komplett verbieten | Apache 2.4

Dazu die Anleitung | http://httpd.apache.org/docs/2.4/misc/security_tips.html#page-header
In the server configuration file, put <Directory "/"> AllowOverride None </Directory>

Funktioniert leider nicht.

Aber bei der Angabe des Verzeichnis funktioniert es
<Directory /var/www/vhosts/example-domain.de/httpdocs> AllowOverride None </Directory>

Wo könnte der Fehler liegen.

Danke voraus.
 
Code:
<Directory "/">
    Options None +FollowSymLinks
    AllowOverride None
    Require all denied
</Directory>
<LocationMatch "^/?(.+/)*[\._]">
    Require all denied
</LocationMatch>
<LocationMatch "^/?(?:\.well-known)">
    Require all granted
</LocationMatch>
 
Es gab/gibt einen Grund dafür, allerdings habe ich darüber vor einigen Jahren in der Apache-ML gelesen, erinnere mich aber leider nicht mehr an die genauen Details. Ich glaube es hatte etwas mit der internen Verarbeitungsreihenfolge und daraus resultierenden Sicherheitsrisiken zu tun, könnte mich aber auch täuschen.
Sorry :(

Auf jeden Fall nutze ich seitdem fast ausschliesslich LocationMatch statt FilesMatch, also war der Grund schwerwiegend...
 
Es könnte auch mit mod_proxy_fcgi/PHP-FPM zusammenhängen, da musste ich damals beim Release von PHP-5.4 etliches in meinen Configs umstellen/beachten.
Oder es war schon vorher wegen mod_rewrite für die URL-Migration von Dokuwiki zu MediaWiki.

Ich weiss es leider wirklich nicht mehr, aber es ist auf jeden Fall um die zehn Jahre her.
 
Vorteil von Location wäre, daß auch "dynamisch generierte" Files abgefangen werden werden Files eben nur auf real-existierende greift...
 
Hallo, ich kann zumindest berichten das die Konfiguration bei mir leider nicht funktioniert.

Woran es liegt kann ich jetzt nicht sofort sagen. Ich habe zumindest in PLESK unter "Einstellungen für Apache" die folgende Option aktiviert:

>> Fähigkeit, symbolischen Verknüpfungen zu folgen, einschränken | Wählen Sie diese Option aus, um Benutzer daran zu hindern, die Anweisung FollowSymLink in .htaccess zu verwenden und um so die Serversicherheit zu verbessern. <<

Ich versuche mich dem Problem weiter anzunähern.
 
Vorteil von Location wäre, daß auch "dynamisch generierte" Files abgefangen werden werden Files eben nur auf real-existierende greift...
Danke, das war bei mir auf jeden Fall einer der Gründe dafür nur noch LocationMatch zu verwenden, damals beim Wechsel von Dokuwiki zu MediaWiki um die URL per mod_rewrite schrittweise zu migrieren.
Das bedeutet aber nicht, dass später nicht doch noch weitere (Sicherheits)Gründe hinzugekommen sind, beispielsweise nicht greifende Zugriffsbeschränkungen per mod_access*/mod_auth* oder ähnliches.

Ergo: Lieber gleich wann immer möglich LocationMatch verwenden, statt früher oder später in Probleme mit FilesMatch zu geraten...
 
Back
Top