Plesk mit .htaccess zusätzlich schützen
- Thread starter satriani
- Start date
Hier kannst du dir die dafür erforderlichen Daten erstellen lassen -> eKiwi - Alles für den Webmaster, kostenlose Banner, Flash, Buttons und vieles mehr
Die dadurch generierten Daten einfach in eine leere Datei kopieren und diese Datei dann .htaccess benennen und in den Ordner schieben der geschützt werden soll.
Ich denke dies bringt allerdings wenig, wenn ich mich erinnere kann man die Loginmaske die durch die htaccess Datei erstellt wird, sehr leicht knackbar ist. Wenn wirklich jemand auf dein Plesk möchte so schützt ein gutes PW in Plesk dann deutlich mehr als die htaccess Datei.
Die dadurch generierten Daten einfach in eine leere Datei kopieren und diese Datei dann .htaccess benennen und in den Ordner schieben der geschützt werden soll.
Ich denke dies bringt allerdings wenig, wenn ich mich erinnere kann man die Loginmaske die durch die htaccess Datei erstellt wird, sehr leicht knackbar ist. Wenn wirklich jemand auf dein Plesk möchte so schützt ein gutes PW in Plesk dann deutlich mehr als die htaccess Datei.
Quelle?
Der htaccess-Schutz via "Require Valid User" ist so sicher wie das Passwort des selbigen. Nehme ich für htaccess und Plesk verschiedene harte Passworte, erhöht sich die Zeit zum 'bruteforcen' erheblich.
satriani
Registered User
oh... sorry, ich sehe gerade ich habe mich nicht deutlich ausgedrückt.
danke NacKteOmA für die Antwort, aber es geht mir nicht darum wie ich die .htaccess erstelle, sondern wo genau muss die hin?
Bei meinem SUSE 10.3 habe ich die .htaccess im /usr/local/psa/admin/htdocs erstellt, doch es scheint irgendwie nicht zu funktionieren
Das muss nicht unbedingt ein Passwortschutz sein, ich möchte es zum abblocken nutzen, mit RewriteCond %{HTTP_USER_AGENT} und deny from
Gruß Alex.
danke NacKteOmA für die Antwort, aber es geht mir nicht darum wie ich die .htaccess erstelle, sondern wo genau muss die hin?
Bei meinem SUSE 10.3 habe ich die .htaccess im /usr/local/psa/admin/htdocs erstellt, doch es scheint irgendwie nicht zu funktionieren
Das muss nicht unbedingt ein Passwortschutz sein, ich möchte es zum abblocken nutzen, mit RewriteCond %{HTTP_USER_AGENT} und deny from
Gruß Alex.
Last edited by a moderator:
Plesk auch. Und wenn Du das nicht benutzen würdest, müsstest Du auch nichts extra schützen. Eine Klappe = 2 Fliegen
Fail2Ban sind übrigens ca. 60 MB, die RAMseitig verbraucht werden.
Huschi
Moderator
Ich fasse mal meine Meinung zusammen:
Ob man mod_evasive, mod_security oder mod_auth zusätzlich laufen lässt: alles kostet Performance.
Eine .htaccess gehört natürlich ins DocumentRoot. Also /usr/local/psa/admin/htdocs/.
Aber damit sie eingelesen wird, muss dem (richtigen!) Webserver auch gesagt werden, dass es diese lesen soll. Dazu muss dann auch das passende Auth-Modul installiert sein.
Plesk 8 läuft unter einem minimalen Apache 1.3. Mit Plesk 9 kommt ein Lighttpd getarnt als "sw-cp-serverd" daher.
@satriani
Und das ist alles kein Grund hier unnötig zu puschen.
@dev
Zum Ram-Verbrauch sei gesagt, dass fail2ban auch mit weniger auskommen kann.
huschi.
Ob man mod_evasive, mod_security oder mod_auth zusätzlich laufen lässt: alles kostet Performance.
Eine .htaccess gehört natürlich ins DocumentRoot. Also /usr/local/psa/admin/htdocs/.
Aber damit sie eingelesen wird, muss dem (richtigen!) Webserver auch gesagt werden, dass es diese lesen soll. Dazu muss dann auch das passende Auth-Modul installiert sein.
Plesk 8 läuft unter einem minimalen Apache 1.3. Mit Plesk 9 kommt ein Lighttpd getarnt als "sw-cp-serverd" daher.
@satriani
Und das ist alles kein Grund hier unnötig zu puschen.
@dev
Zum Ram-Verbrauch sei gesagt, dass fail2ban auch mit weniger auskommen kann.
huschi.
satriani
Registered User
Hey huschi,
es freut mich sehr, dass du dich hier meldest und dazu noch mit nützlicher Information, was anderes habe ich von dir nicht erwartet
.
Ich frage mich nur, hätte ich lieber noch warten müssen bis einer sich hier meldet der auch Ahnung hat, oder hat mein unnötiger push dich hierher gerufen
Nur schade, dass es mir eine Verwarnung gekostet hat
edit: also ich habe die httpsd.conf im Verzeichnis /usr/local/psa/admin/conf/ geöffnet
also die Raute entfernt, gespeichert, hoch geladen, kein Erfolg
Danke im Voraus.
Gruß Alex.
es freut mich sehr, dass du dich hier meldest und dazu noch mit nützlicher Information, was anderes habe ich von dir nicht erwartet
.Ich frage mich nur, hätte ich lieber noch warten müssen bis einer sich hier meldet der auch Ahnung hat, oder hat mein unnötiger push dich hierher gerufen
Nur schade, dass es mir eine Verwarnung gekostet hat
Wie installiere ich es?
edit: also ich habe die httpsd.conf im Verzeichnis /usr/local/psa/admin/conf/ geöffnet
also die Raute entfernt, gespeichert, hoch geladen, kein Erfolg
Danke im Voraus.
Gruß Alex.
Last edited by a moderator:
Huschi
Moderator
Definitiv nein. Ich lese dann hier im Forum wenn ich Zeit habe. Dieser Thread wäre mir heute zwangsweise über den Weg gelaufen.
Und das nächste Mal kann so ein Thread auch einfach geschlossen werden. Dann kann keiner mehr Antworten. Das bringt es dann voll, oder?Nur schade, dass es mir eine Verwarnung gekostet hat
Dann war es wohl nicht die richtige Direktive, oder?also die Raute entfernt, gespeichert, hoch geladen, kein Erfolg
AllowOverride muss gesetzt werden, damit überhaupt .htaccess überhaupt ausgelesen wird. Und wie der Nave "Override" schon sagt: .htaccess ist nur eine zusätzliche Config-Datei. Warum also eine Direktive dort rein schreiben, wenn man es auch direkt in die richtige Config packen kann?
huschi.
satriani
Registered User
Ok
OK ich habs, für die diejenigen die Interesse haben:
im Verzeichnis /usr/local/psa/admin/conf/ die httpsd.conf öffnen, Zeilen 347 bis 351, AllowOverride von None auf All setzen.
WICHTIG: danach den Apache von Plesk neustarten
Jetzt kann man die .htaccess im Docverzeichnis von Plesk
erstellen und beliebig anpassen (mit zusätzlichen Passwort schützen oder Unbefugte abblocken etc.)
Der Beitrag kann geschlossen werden
Gruß Alex
OK ich habs, für die diejenigen die Interesse haben:
im Verzeichnis /usr/local/psa/admin/conf/ die httpsd.conf öffnen, Zeilen 347 bis 351, AllowOverride von None auf All setzen.
Code:
<Directory />
# SSLRequireSSL ## disabled for allowing http redirect to https by 400 Error (Bad Request see bug #25466)
Options FollowSymLinks
AllowOverride [COLOR="Red"]All[/COLOR]
</Directory>
Code:
/etc/init.d/psa restartJetzt kann man die .htaccess im Docverzeichnis von Plesk
Code:
/usr/local/psa/admin/htdocsDer Beitrag kann geschlossen werden
Gruß Alex
Wenn man die httpsd.conf sowieso editiert, kann man auch das "Limit GET" direkt da reinschreiben. So umgeht man Sicherheitslücken, bei denen ein Angreifer eine .htaccess-Datei ändert oder löscht. Zudem würde ich allenfalls "AllowOverride AuthConfig" und nicht gleich "All" schreiben.
satriani
Registered User
Danke für den Tipp Whistler,
wenn du schon den Tipp gibst, könntest du auch das ganze mal Schritt für Schritt erklären?
Danke im Voraus.
Gruß Alex.
wenn du schon den Tipp gibst, könntest du auch das ganze mal Schritt für Schritt erklären?
Danke im Voraus.
Gruß Alex.
satriani
Registered User
OK, ich mache das für dich.
In die oben erwähnte httpsd.conf folgendes eintragen.
Apache von Plesk unbedingt restarten !
die .htaccess im Docverzeichnis von Plesk braucht nicht erstellt zu werden.
Das AuthConfig verursacht "500 Internal Server Error" warum auch immer.
Gruß Alex.
In die oben erwähnte httpsd.conf folgendes eintragen.
Code:
<Directory /usr/local/psa/admin/htdocs>
AllowOverride FileInfo AuthConfig Limit
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
<Limit GET POST OPTIONS PROPFIND>
Order allow,deny
Allow from 12.34.56.78
</Limit>
<LimitExcept GET POST OPTIONS PROPFIND>
Order deny,allow
Deny from all
</LimitExcept>
</Directory>die .htaccess im Docverzeichnis von Plesk braucht nicht erstellt zu werden.
Das AuthConfig verursacht "500 Internal Server Error" warum auch immer.
Gruß Alex.