Raketenwissenschaftler: .htaccess vor Zugriff von außen schützen (von einsiedler)

Ich habe dezeit nur sehr instabil Internet, deswegen antworte ich, obwohl die Frage nicht neu gestellt wurde:

In meiner /etc/apache2/apache2.conf steht:

# AccessFileName: The name of the file to look for in each directory
# for additional configuration directives.  See also the AllowOverride
# directive.
#
AccessFileName .htaccess

#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<FilesMatch "^\.ht">
        Require all denied
</FilesMatch>

Demnach solltest Du besser keine eigenen Schritte unternehmen!

Das von Dir gezeigte

deny from all

wird zudem für einen Serverfehler führen, wenn das Modul für die Kopatibilität mit dem Apache 2.2 nicht oder nicht mehr aktiv ist.

  1. Hi,

    Ich habe dezeit nur sehr instabil Internet, deswegen antworte ich, obwohl die Frage nicht neu gestellt wurde:

    In meiner /etc/apache2/apache2.conf steht:

    # AccessFileName: The name of the file to look for in each directory
    # for additional configuration directives.  See also the AllowOverride
    # directive.
    #
    AccessFileName .htaccess
    
    #
    # The following lines prevent .htaccess and .htpasswd files from being
    # viewed by Web clients.
    #
    <FilesMatch "^\.ht">
            Require all denied
    </FilesMatch>
    

    Demnach solltest Du besser keine eigenen Schritte unternehmen!

    Das stimmt nicht ganz. Man sollte auf jeden Fall verhindern, dass die .htaccess-Datei durch irgendwelche Scriptinterpreter und/oder andere User als root zu verändern ist. Im shared Hosting kann da der Grat schon sehr schmal werden, wenn man leider den Account-User berechtigen muss und auch die Scripte unter dessen Namen laufen.

    Ein ungeschicktes Uploadscript könnte dann durchaus irgendeine .htaccess noch überschreiben/ändern.

    LG
    Mitleser

    1. Ob die .htaccess vom Webserver beschrieben werden kann ist im Hinblick auf die ursprüngliche Frage etwas problemfern.

      @einsiedler

      Die oben gezeigte Regel staht in jeder originalen Konfiguration und wird von vielen Skripten bzw. auch libarys/frameworks so erwartet, auf Großschreibung brauchst Du eher nicht achten, bei Deinem .[Hh][Tt][Aa] ist das [aA] nicht hyperliquid, sondern FALSCH. z.B. werden die oft genutzte Namen .htpasswd oder .htusers nicht gematcht.

      (Dein Log)

      Ich habe hier gefühlt 500 mal gepostet, was ich mit solchen Zugriffen mache: 404er PHP-Skript, welches sich den Request anschaut und bei problematisch anmutenden Zeug die IP in die Firewall einwirft und mit at dafür sorgt, dass 10 Minuten später die Blockierung aufgehoben wird (damit ich mich im Seminar nicht selbst ausschließe).

      Auf einem shared server sollte sich der Hoster darum kümmern, dass zu intensive Zugriffsserien geblockt werden. Lese bei mod_evasive und fail2ban nach - wenn das Dein eigener Server ist.

      Und nein, es bringt überhaupt nichts, die IP hier zu posten. Was Du vor allem machen solltest ist, Dich endlich mal zu beruhigen und lernen, mit dem Grundrauschen leben zu können. daw, was Du gezeigt hast, ist quasi „gar nichts“.

      1. O.K., O.K, nur das mit der Firewall ist nicht so einfach, mein Hoster hat mir mitgeteilt das er nur "global" eine Firewall konfigurieren kann. Zitat: "Für jeden einzelnen Webhosting-Zugang leider nicht". Weiter: "Ich könnte Ihnen anbieten das Sie einen neuen Webhosting-Zugang auf einer anderen IP-Adresse bekommen." Aber das wäre doch "gehopst wie gesprungen", denn "irgendwann finden sie mich" (wieder)! Oder???

        Sollte ich dies tun?

        Grüße der misanthrop

        1. "irgendwann finden sie mich" … Sollte ich dies tun?

          Auch nicht. Denen geht es nicht um DICH. Das sind „Breitbandscans“, sowas hat jeder jeden Tag in den Logs. Das ist wie Wetter, findet also statt. Und wenn man sich ständig drüber aufregt, dann wird man irre. Also hört man auf, sich drüber aufzuregen und sagt sich: „He! Ich hab ein Dach!“

          Das "irgendwann finden sie mich" klingt übrigens schon recht bedenklich …

        2. Moin,

          O.K., O.K, nur das mit der Firewall ist nicht so einfach, mein Hoster hat mir mitgeteilt das er nur "global" eine Firewall konfigurieren kann. Zitat: "Für jeden einzelnen Webhosting-Zugang leider nicht".

          Dann hilft nur ein (Root-)Server mit einer eigenen IP. Das shared Hosting lässt ohne komplizierte Software auf IP-Ebene nur gemeinsame Filter für alle Domains unter der IP zu.

          Du kannst also nur weiterhin auf den Protokollebenen (HTTP/s [, FTP/s, SSH, ...]) für ein Ablehnen der Verbindung Verweigern der geforderten Antwort sorgen.

          Weiter: "Ich könnte Ihnen anbieten das Sie einen neuen Webhosting-Zugang auf einer anderen IP-Adresse bekommen." Aber das wäre doch "gehopst wie gesprungen", denn "irgendwann finden sie mich" (wieder)! Oder???

          Genau dafür soll der DNS doch sorgen! Was nützt Dif ein Domainname, wenn der zuständige Host dann nicht in 50ms gefunden werden kann?

          Sollte ich dies tun?

          Nur, wenn Du eine eigene IP bekommst. Das kostet aber.

          200 Ein Vielsurfer

  2. Ich habe dezeit nur sehr instabil Internet

    Endlich wieder Raketen-Internet

    1. Hallo,

      Ich habe dezeit nur sehr instabil Internet

      Endlich wieder Raketen-Internet

      und tatsächlich wieder stabil? :-)

      Wobei ... ich bin gerade etwas irritiert: Du hast 100Mbit (oder etwas mehr) über herkömmliches Kupferkabel? Ich dachte, mehr als 16Mbit sei über den althergebrachten Telefondraht nicht mehr drin, und für mehr müsste es dann doch Glasfaser sein.

      Es ist ja sowieso schon fast ein Wunder, wie die Übertragung im Megabit-Bereich (und auch Megahertz-Bereich) über einen billigen Klingeldraht funktionieren kann. Ohne Schirmung, mit nur rudimentärer Impedanz-Anpassung. Dabei war das vor rund 100 Jahren eigentlich nur auf die Übertragung von NF ausgelegt (also bis rund 4kHz).
      Faszinierend.

      Andererseits: 100Mbit-Ethernet funktioniert auch noch über UTP (wobei das U in der Bezeichnung für Unshielded, also ungeschirmt steht). Auch das ist eigentlich bloß ein etwas besserer Klingeldraht.

      Live long and pros healthy,
       Martin

      --
      Ich stamme aus Ironien, einem Land am sarkastischen Ozean.
      1. ich bin gerade etwas irritiert: Du hast 100Mbit (oder etwas mehr) über herkömmliches Kupferkabel?

        Soweit ich weiß geht VDSL bis in Deutschland praktisch bis 250Mbit/s, theorethisch bis 400 Mbit/s. Beides „down“ (also rx), in up-Richtung (tx) deutlich langsamer - Allerdings sind die DSLAM inzwischen per Glasfaser am Netz - sonst wird das nichts. Kupfer ist die „letzte Meile“ (bei mir: etwas über 200m)

        über einen billigen Klingeldraht funktionieren kann. Ohne Schirmung

        Ja. Im Prinzip sind das eigentlich Funktechnologien, die vom alten UKW stammen und schon da hat man sich oft über die Ausbreitung gewundert. Die Kabel sind paarweise verdrillt und insgesamt geschirmt. Nennt sich „Telekom-Kabel“ und das Zeug gibts im Baumarkt. Falls Du mal die 15 Meter vom Hausanschluss bis in die Hütte neu verlegen musst.

        Dafür sehe ich grad was anderes:

        mtr zu google.de

        Als das Netz instabil war, erreichte ich den für mich zuständigen Server für „Google.de“ (steht im Rechenzentrum meines Providers) in 9ms, jetzt sind es wieder 12.

        1. Hallo,

          ich bin gerade etwas irritiert: Du hast 100Mbit (oder etwas mehr) über herkömmliches Kupferkabel?

          Soweit ich weiß geht VDSL bis in Deutschland praktisch bis 250Mbit/s, theorethisch bis 400 Mbit/s.

          wow, ich bin beeindruckt.

          über einen billigen Klingeldraht funktionieren kann. Ohne Schirmung

          Ja. Im Prinzip sind das eigentlich Funktechnologien, die vom alten UKW stammen und schon da hat man sich oft über die Ausbreitung gewundert. Die Kabel sind paarweise verdrillt und insgesamt geschirmt.

          Das gilt für die Strecke von der Vermittlungsstelle (DSLAM) bis zum Hausanschluss. Innerhalb des Hauses sind die Leitungen meist einfach nur verdrillte Zwillingslitzen ohne Schirmung - wobei ja gerade die Verdrillung auch schon für eine gute Störsicherheit sorgt (sowohl im Hinblick auf die Störfestigkeit, als auch die Störaussendung).

          Ähnliches gilt übrigens für die Radio- und TV-Installation in den Gebäuden. Anfang der 2000er Jahre war ich als Funkamateur recht aktiv, bevorzugt im 2m-Band. Und ich habe mich tierisch darüber geärgert, dass ich zu einer nahe gelegenen Relaisstation praktisch keine Verbindung bekommen konnte, weil genau auf derselben Frequenz im Kabel-TV der Tonkanal von RTL übertragen wurde. Und durch die schlecht geschirmten Antennenleitungen im Haus schlug das Signal voll in meinen 2m-Empfänger.

          Falls Du mal die 15 Meter vom Hausanschluss bis in die Hütte neu verlegen musst.

          Äh? Der Hausanschluss ist doch "in die Hütte". Bis dahin ist Sache des Netzbetreibers, und von da aus laufen die Leitungen dann meist ungeschirmt weiter.

          Live long and pros healthy,
           Martin

          --
          Ich stamme aus Ironien, einem Land am sarkastischen Ozean.
          1. Hallo,

            also mein Haus steht ca 100m vom DSLAM entfernt, und die Verbindung von "Dose Nr. 1" zum Modem ist alles andere als professionell verlegt (über 20 Jahre alt, da war für mich DSL eigentlich noch gar kein Thema).

            Trotzdem funktioniert mein VDSL 50 perfekt und mein Fritzchen sagt, 100MBit wären drin. Wenn ich's denn bräuchte und bezahlen wollte. 50 MBit reichen für NetCologne NetTV, 2 Kanäle Netflix-Stream und Telefon locker aus. Solange Filius nicht wieder ein 3GB Update für Assassins Creed oder so runterlutscht...

            Ist schon beeindruckend, was die Technik hergibt. Genauso beeindruckend wie ein moderner Microprozessor für jemanden, den die F-Version eines 7400 Chip mal begeistert hatte 👴

            Rolf

            --
            sumpsi - posui - obstruxi
          2. Die Kabel sind paarweise verdrillt und insgesamt geschirmt.

            Das gilt für die Strecke von der Vermittlungsstelle (DSLAM) bis zum Hausanschluss. Innerhalb des Hauses sind die Leitungen meist einfach nur verdrillte Zwillingslitzen ohne Schirmung

            „meist“ - Das konkrete Kabel nicht. Selbst gekauft, selbst verlegt, sogar selbst angeschlossen. Ich hab anno damals aus den Berichten anderer DSL-Kunden, bei denen die letzten Meter vom Hausanschluss bis in die Wohnung für böse Dämpfungswerte sorgten, gelernt.

            @RolfB

            ca 100m vom DSLAM entfernt, und die Verbindung von "Dose Nr. 1" zum Modem ist alles andere als professionell verlegt … VDSL 50

            Halbe Datenrate „Down“, viertel Datenrate „Up“, halbe Länge zum DSLAM, da ist halt viel Luft zum „schlampen“.

            100 MBit/s down sind für meinen Haushalt durchaus „oversized“. Ich will vor allem die 40 Mbit/s „up“. Aber ich kann Dir versichern, dass jedes MBit/s mehr auch ein Quentchen mehr Spaß macht wenn man „kurz vor der Angst“ 5 Laptops mit Updates versorgen muss. (Hab hier aktuell keinen apt-chacher-ng: Die Platte am Banana-Pi war langsamer als „das Internet“)