VHCS2-Verzeichnisse absichern

  • Thread starter Thread starter BitH
  • Start date Start date
B

BitH

Guest
Hi,

ich habe die Verzeichnisse von VHCS2 mittels zusaetzlicher .htaccess abgesichert.
In Anbetracht der security-Probleme schien mir das sinnvoll.

Problem 1: Domain geschaltet und konfiguriert aber keine Praesenz eingespielt.
Es werden Passwoerter abgefragt. Ist auch logisch, da ich die .htaccess der Einfachheit halber direkt ins vhcs2-Verzeichnis gespielt habe.

Also habe ich etwas differenzierter mit der .htaccess gearbeitet.
Ich habe eine ohne auth in die "client-verz." gestellt und eine mit auth in das Hauptverz.

ABER - nun komm ich nicht mehr in phpmyadmin rein :-x
Es kommt eine Passwortabfrage nach der anderen, und dann eine 401-page.
Laut Realm werden zwei verschiedene .htaccess angezogen.
Der erste und der dritte Realm lautet "phpMyAdmin auf localhost".
Nur der mittlere ist der von mir definierte mit auth.

Auch bei webmail poppt immer ein auth auf, als wuerde die .htaccess ohne auth nicht gezogen werden.

Ich fuehl' mich wie der sprichwoertliche Ochs... :-o

Thx 4 your help !
 
Hallo @ll,

also das Thema waere schon noch interessant fuer mich...
Wenn es irgendwo schon einen Thread gibt, der das Thema hinreichend eroertern, wuerde mir auch ein simpler link dahin weiterhelfen.
Des Lesens bin ich schon maechtig :) Nur mit dem Suchen und Denken haperts manchmal...

Danke!
 
Es gilt vereinfacht gesagt immer die übergeordnete .htaccess Datei.

Zudem hat "Rhea" ja auch eine Art Verzeichnisschutz schon implementiert.

Gibt man z.B.
http://www.abmatten.de/gibtesnicht ein kommt Fehler 404 Not found.

Gebe ich jetzt ein Verzeichnis an, welches Daten enthält, ist per Apacheconf, das Verzeichnislisting verboten (Fehler 403)

Dein Problem ist, daß dein gui/pma Ordner eine .htaccess enthält, welche von einer übergeordneten
.htaccess Datei verweigert wird und sich zudem noch mit der phpmyadmin-eigenen Authorisierung beißt.

Ich habe seit mehreren Jahren keine Probleme, wenn ich DirectoryIndex verbiete.

Sprich: Zu viel des Guten :roll:
 
catreaper schrieb:
Es gilt vereinfacht gesagt immer die übergeordnete .htaccess Datei.
Click to expand...
Ohh, ich ging bislang davon aus, dass sich die .htaccess einer Vererbung folgend verhaelt, also in diesem Falle die uebergeordnete ueberschrieben wuerde.
Zudem hat "Rhea" ja auch eine Art Verzeichnisschutz schon implementiert.
Click to expand...
Wer ist Rhea ?
Gibt man z.B.
http://www.abmatten.de/gibtesnicht ein kommt Fehler 404 Not found.

Gebe ich jetzt ein Verzeichnis an, welches Daten enthält, ist per Apacheconf, das Verzeichnislisting verboten (Fehler 403)
Click to expand...
Das regelt ja der Apache selbst.
Da hege ich bzgl. Sicherheit auch keine groesseren Zweifel.
Dein Problem ist, daß dein gui/pma Ordner eine .htaccess enthält, welche von einer übergeordneten
.htaccess Datei verweigert wird und sich zudem noch mit der phpmyadmin-eigenen Authorisierung beißt.
Click to expand...
Du willst mir nicht erzaehlen, dass Dir die phpeigene Auth genuegt ?!
Wir reden doch von der web-basierenden Anmeldemaske ?!
Ich habe seit mehreren Jahren keine Probleme, wenn ich DirectoryIndex verbiete.
Click to expand...
Das behandelt der VHCS2 ja sehr ausfuehrlich in der von ihm erzeugten vhcs2.conf im apache2/sites-enabled/. Da sind mir zwar auch schon einige Problemchen ueber'n Weg gelaufen, aber bislang nichts, was sich nicht loesen liesse.
Sprich: Zu viel des Guten :roll:
Click to expand...
Mag sein, daher musste ich ja auch die .htaccess-Auth weitgehend wieder stilllegen.
Letzten Endes bleibt wohl doch nur - schon um das eigene Gewissen auch ein wenig zu beruhigen, die konsequente Umstellung auf SSL. Da wiederrum habe ich derzeit ueberhaupt noch keinen Anhaltspunkt, wie sich das mit VHCS2 verhaelt.

Erstmal danke bis hierher - wenn Dir 'ne nette VHCS2@SSL-Anleitung ueber'n weg kommt - her mit dem Link.
 
SSL und VHCS2; wie wäre es mit apache2 und SSL mal in google eingeben ?! ;-)
Um SSL zu nutzen braucht man ja nichts an VHCS zu ändern??? Wozu auch.

"Rhea" ist die Versionsbezeichnung für das VHCS 2.4.8 RC1.

Du willst mir nicht erzaehlen, dass Dir die phpeigene Auth genuegt ?!
Click to expand...

Ähmm, ja. Ist ja schliesslich nicht das Webinterface, sondern von vorherein eine .htaccess Abfrage.

:-D
 
You must log in or register to reply here.
Back
Top