nicht angemeldet
.htaccess / Ordnerschutz
Hallo zusammen,
ich möchte ein Verzeichnis auf einem Apache (2.2.15 unter openSuse 11.3) schützen.
Dazu habe ich in diesem Verzeichnis (/srv/www/htdocs/ordner/admin) die Datei .htaccess angelegt. Inhalt:
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /srv/www/htdocs/password
Die Datei "password" habe ich per
htpasswd2 -c /srv/www/htdocs/password administrator
erstellt.
--> Beim Aufruf des Verzeichnisses erscheint jedoch keine Passwortabfrage.
Schreibe ich Schrott in die .htaccess, dann wird ein 500er Fehler ausgeliefert, er interpretiert demnach die .htaccess.
In der httpd.conf habe ich explizit das obige Verzeichnis definiert:
<Directory /srv/www/htdocs/ordner/admin>
AllowOverride AuthConfig
</Directory>
Leider bringt das alles nichts, es mag keine Passwortabfrage erscheinen.
Seht ihr noch Möglichkeiten, wo es einen Fehler geben kann?
Grüße, Moritz
-
Hallo,
Dazu habe ich in diesem Verzeichnis (/srv/www/htdocs/ordner/admin) die Datei .htaccess angelegt. Inhalt:
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /srv/www/htdocs/passwordDu solltest dem Webserver auch sagen, dass ein Benutzer erforderlich ist, siehe http://httpd.apache.org/docs/2.2/howto/auth.html#gettingitworking.
Die Datei "password" habe ich per
htpasswd2 -c /srv/www/htdocs/password administrator
erstellt.Es wäre eine gute Idee, die Datei *oberhalb* von /srv/www/htdocs abzulegen, das vermutlich die Document-Root darstellt. Es ist eine sehr gute Idee, keinen direkten Zugriff über http auf die Passwortdatei zu haben. So kann man sehr wahrscheinlich den Dateiinhalt einsehen und sich in aller Ruhe das Kennwort zu gegebenen Benutzern offline ermitteln.
Freundliche Grüße
Vinzenz
-
Hello,
Dazu habe ich in diesem Verzeichnis (/srv/www/htdocs/ordner/admin) die Datei .htaccess angelegt. Inhalt:
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /srv/www/htdocs/passwordDu solltest dem Webserver auch sagen, dass ein Benutzer erforderlich ist, siehe http://httpd.apache.org/docs/2.2/howto/auth.html#gettingitworking.
Die Datei "password" habe ich per
htpasswd2 -c /srv/www/htdocs/password administrator
erstellt.Es wäre eine gute Idee, die Datei *oberhalb* von /srv/www/htdocs abzulegen,
... oder ihren Namen zumindest (bei Standardinstallation) mit ".ht" beginnen zu lassen.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hallo,
Dazu habe ich in diesem Verzeichnis (/srv/www/htdocs/ordner/admin) die Datei .htaccess angelegt. Inhalt:
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /srv/www/htdocs/passwordDu solltest dem Webserver auch sagen, dass ein Benutzer erforderlich ist, siehe http://httpd.apache.org/docs/2.2/howto/auth.html#gettingitworking.
Die Datei "password" habe ich per
htpasswd2 -c /srv/www/htdocs/password administrator
erstellt.Es wäre eine gute Idee, die Datei *oberhalb* von /srv/www/htdocs abzulegen, das vermutlich die Document-Root darstellt. Es ist eine sehr gute Idee, keinen direkten Zugriff über http auf die Passwortdatei zu haben. So kann man sehr wahrscheinlich den Dateiinhalt einsehen und sich in aller Ruhe das Kennwort zu gegebenen Benutzern offline ermitteln.
Freundliche Grüße
Vinzenz
Okay, das heißt, "Require User" fehlt, oder?
Ich probiere das morgen aus, weiterhin werde ich wie empfohlen die .password woanders ablegen.
Danke & Gruß,
Moritz-
Hello,
Okay, das heißt, "Require User" fehlt, oder?
Ich probiere das morgen aus, weiterhin werde ich wie empfohlen die .password woanders ablegen.
und sicherheitshalber trotzdem '.htpasspword' nennen?
Die Sache mit dem '.ht' ist Apache-Standard und wird durch ein
<Files ~ "^.ht">
Order allow,deny
Deny from all
</Files>in der generellen Konfiguration (z.B. apache2.conf) erreicht.
http://httpd.apache.org/docs/2.2/mod/core.html#files
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
-