Ralf: Frage zum Wiki-Artikel „Passwortschutz“

problematische Seite

Hallo,

kann man Basic Auth und Allow from IP auch kombinieren? Ich hätte gerne das Verzeichnis für alle Zugriffe aus dem LAN frei und für alle Zugriffe von außerhalb mit User und Passwort geschützt.

Danke für Tipps Ralf

  1. problematische Seite

    Hallo Ralf,

    kann man Basic Auth und Allow from IP auch kombinieren? Ich hätte gerne das Verzeichnis für alle Zugriffe aus dem LAN frei und für alle Zugriffe von außerhalb mit User und Passwort geschützt.

    klar:

    Order deny,allow
    Deny from all
    AuthName "Passwortgeschützter Bereich"
    AuthUserFile /pfad/zur/datei/.htpasswd
    AuthType Basic
    Require valid-user
    allow from 000.000.000.000
    allow from 111.111.111.111
    Satisfy Any
    
    

    Quelle:
    https://www.redim.de/blog/passwortschutz-mit-htaccess-einrichten

    Aber was meinst du mit aus dem LAN? Hängt der Server auch mit da drin? Denn dann bieten sich auch andere Möglichkeiten an.

    Gruss
    Henry

    --
    Meine Meinung zu DSGVO & Co:
    „Principiis obsta. Sero medicina parata, cum mala per longas convaluere moras.“
    1. problematische Seite

      Hallo Henry,

      ein +1 für die gute Idee, ein -0.1 für das Fehlen der spitzen Klammern um den Link und ein -0.5 für die fehlende Anpassung des Samples. Macht +0.4, rundet sich leider auf 0 😉

      Die spitzen Klammern habe ich ergänzt.

      Soweit man das recherchieren kann, ist 111.111.111.111 eine IP in Japan, Netzwerkname: KDDI-NET, Besitzer: KDDI CORPORATION. Diese Beispielzeile sollte man nicht in die eigene Config übernehmen.

      Die Angabe 0.0.0.0 ist ungenau, IPv4 besagt, dass "0.0.0.0/8" für "this host on this network" steht, demnach beziehen sich die Adressen 0.0.0.0 bis 0.255.255.255 auf den eigenen Computer. Ob diese Angabe aber jemals ankommen wird? RFC 1122 sagt: "This host on this network. MUST NOT be sent, except as a source address as part of an initialization procedure by which the host learns its own IP address."

      Eher relevant könnte der Bereich sein, in dem localhost liegt: "127.0.0.0/8". Die Frage ist nur, mit welcher IP ein Request ankommt, der von der Maschine ausgeht, auf der der Server läuft. In meinem lokalen IIS kommen lokale Requests mit ::1 an (::1/128 ist der Loopback von IPv6)

      Adressen im "eigenen LAN" hängen vom Router ab. Ein großes LAN kann "10.0.0.0/8" verwenden, die klassischen Privat-LANs liegen in irgendeinem /24-Subnetz von "192.168.0.0/16". Welches es genau ist, erfährt man mit ipconfig auf der Befehlszeile. Default bei AVM ist 192.168.178.0/24. Das gilt aber nur bei IPv4. Ein IPv6 Netz braucht kein Subnetting, da hat - soweit ich weiß - jeder Host seine weltweit eindeutigen IPs, die könnten auch noch alle 24h wechseln, und das wird man kaum in .htaccess freischalten können.

      Rolf

      --
      sumpsi - posui - obstruxi
      1. problematische Seite

        Tach!

        Soweit man das recherchieren kann, ist 111.111.111.111 eine IP in Japan, Netzwerkname: KDDI-NET, Besitzer: KDDI CORPORATION. Diese Beispielzeile sollte man nicht in die eigene Config übernehmen.

        Eben. Genauso wie es example.com (und weitere) für beispielhafte Domainnamen gibt, gibt es auch IP-Adressen-Bereiche für diesen Zweck. In der deutschen Wikipedia ist den drei Bereichen als Verwendung "Test-Netzwerke" zugeschrieben, die englische Ausgabe sagt "Documentation".

        dedlfix.

        1. problematische Seite

          Hello,

          Soweit man das recherchieren kann, ist 111.111.111.111 eine IP in Japan, Netzwerkname: KDDI-NET, Besitzer: KDDI CORPORATION. Diese Beispielzeile sollte man nicht in die eigene Config übernehmen.

          Eben. Genauso wie es example.com (und weitere) für beispielhafte Domainnamen gibt, gibt es auch IP-Adressen-Bereiche für diesen Zweck. In der deutschen Wikipedia ist den drei Bereichen als Verwendung "Test-Netzwerke" zugeschrieben, die englische Ausgabe sagt "Documentation".

          Und welche davon sollte man dMn nun als "Allgemeinlusche" benutzen?

          Ich (m) würde immer zu XXX.XXX.XXX.XXX oder ###.###.###.### tendieren. Da wäre jedeX FachX klar, dass es sich um einen Platzhalter (muss ich das jetzt auch gendern?) handelt.

          Glück Auf
          Tom vom Berg

          --
          Es gibt nichts Gutes, außer man tut es!
          Das Leben selbst ist der Sinn.
          1. problematische Seite

            Tach!

            Und welche davon sollte man dMn nun als "Allgemeinlusche" benutzen?

            Ich habe dazu keine Meinung. Die Bereiche sind alle gleichwertig.

            dedlfix.

    2. problematische Seite

      printf('Hallo %s!', ['Du', 'ihr', 'Welt', 'zusammen'][rand(0, 3)]);

      Order deny,allow
      Deny from all
      AuthName "Passwortgeschützter Bereich"
      AuthUserFile /pfad/zur/datei/.htpasswd
      AuthType Basic
      Require valid-user
      allow from 000.000.000.000
      allow from 111.111.111.111
      Satisfy Any
      
      

      The Allow, Deny, and Order directives, provided by mod_access_compat, are deprecated and will go away in a future version. You should avoid using them, and avoid outdated tutorials recommending their use.

      /K

      1. problematische Seite

        Hallo kai345,

        ich bin nicht so der Indianerhäuptling. Bedeutet das, dass man einfach Allow From durch Require IP ersetzen kann?

        Rolf

        --
        sumpsi - posui - obstruxi
        1. problematische Seite

          printf('Hallo %s!', ['Du', 'ihr', 'Welt', 'zusammen'][rand(0, 3)]);

          ich bin nicht so der Indianerhäuptling.

          Willkommen im Club. Apache treibt mich meist in den Wahnsinn.

          Bedeutet das, dass man einfach Allow From durch Require IP ersetzen kann?

          Im Prinzip schon. Diesbezüglich ist die Upgrading to 2.4 Seite mit einigen Beispielen hilfreich

          /K

  2. problematische Seite

    Hello Ralf,

    kann man Basic Auth und Allow from IP auch kombinieren? Ich hätte gerne das Verzeichnis für alle Zugriffe aus dem LAN frei und für alle Zugriffe von außerhalb mit User und Passwort geschützt.

    Dazu schreibt das Manual von Apache 2.4 auch etwas

    Hatte ich bisher auch noch nicht realisiert, dass sich da etwas geändert hat. Das probiere ich mal aus und poste das Ergebnis dann hier.

    Glück Auf
    Tom vom Berg

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
  3. problematische Seite

    Hello Ralf,

    kann man Basic Auth und Allow from IP auch kombinieren? Ich hätte gerne das Verzeichnis für alle Zugriffe aus dem LAN frei und für alle Zugriffe von außerhalb mit User und Passwort geschützt.

    Ich habe es jetzt auf meinem Raspi mit Apache 2.4 ausprobiert. Das wäre ein Beispiel für eine funktionierende .htaccess-Datei innerhalb eines zu schützenden Verzeichniszweigs

    ## .htaccess  
    
    AuthName "Bitte User und Passwort eingeben"
    AuthUserFile /var/www/.htuserpasswd
    AuthType Basic
    
    <RequireAny>
        Require valid-user
        Require ip 192.168.178.
        Require ip 127.
        Require ip ::1
        Require valid-user
    </RequireAny>
    
    IndexOptions +NameWidth=80
    IndexOptions +IgnoreCase
    IndexOptions +FoldersFirst
    IndexOptions +FancyIndexing
    
    

    Glück Auf
    Tom vom Berg

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
    1. problematische Seite

      Hallo Tom,

      <RequireAny>
          Require valid-user
          Require ip 192.168.178.
          Require ip 127.
          Require ip ::1
          Require valid-user
      </RequireAny>
      

      steckt irgendeine Absicht dahinter, dass valid-user zweimal aufgeführt wird?
      Vermutlich ein Versehen, denke ich.

      Live long and pros healthy,
       Martin

      --
      Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.
      1. problematische Seite

        Hello Martin,

        das ist ein Versehen, es schadet aber hier auch nicht.

        <RequireAny>
            Require ip 192.168.178.
            Require ip 127.
            Require ip ::1
            Require valid-user
        </RequireAny>
        

        steckt irgendeine Absicht dahinter, dass valid-user zweimal aufgeführt wird?
        Vermutlich ein Versehen, denke ich.

        Live long and pros healthy,
         Martin

        Glück Auf
        Tom vom Berg

        --
        Es gibt nichts Gutes, außer man tut es!
        Das Leben selbst ist der Sinn.
  4. problematische Seite

    Hello Ralf,

    kann man Basic Auth und Allow from IP auch kombinieren? Ich hätte gerne das Verzeichnis für alle Zugriffe aus dem LAN frei und für alle Zugriffe von außerhalb mit User und Passwort geschützt.

    Wie du sehen kannst, wurde deine Frage ziemlich schnell in aktuelles Wissen und dessen Dokumentation im SelfHTML-Wiki umgewandelt.

    Sie hat daneben auch noch ein paar "Verwaltungsfragen" aufgeworfen. Aber die interessieren Dich als Fragesteller vermutlich weniger :-O

    Stelle deine Fragen also gerne weiterhin. Gute Fragen bringen uns alle gemeinsam voran!

    Glück Auf
    Tom vom Berg

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
    1. problematische Seite

      Hallo Tom,

      Stelle deine Fragen also gerne weiterhin. Gute Fragen bringen uns alle gemeinsam voran!

      wohl wahr! Die besten Fragen sind die, bei denen der Gefragte (also der vermeintliche Fachmann) selbst noch etwas lernt.

      Als ich noch zur Schule ging, habe ich bei Verständnisproblemen in Mathematik, Physik, Chemie und Co. gern meine Mutter gefragt. Nicht weil sie sich in diesen Themen gut auskannte - nein, im Gegenteil. Aber wenn man Laien um Rat fragt, ist man gezwungen, das gesamte Thema erstmal in Kurzform zu erklären. Und manchmal findet man genau dadurch selbst die Antwort. Mir hat das jedenfalls oft geholfen.

      Live long and pros healthy,
       Martin

      --
      Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.
    2. problematische Seite

      Servus!

      Wie du sehen kannst, wurde deine Frage ziemlich schnell in aktuelles Wissen und dessen Dokumentation im SelfHTML-Wiki umgewandelt.

      Das Folgekapitel Webserver/htaccess/Zugriffskontrolle hat ein ToDo:

      Die Anweisungen "Allow", "Deny" und "Order", die von mod_access_compat bereitgestellt werden, sind veraltet und werden in einer zukünftigen Version verschwinden. Sie sollten es vermeiden, sie zu verwenden, und veraltete Tutorials, die ihre Verwendung empfehlen, meiden.

      http://httpd.apache.org/docs/2.4/en/howto/access.html#host

      Könnte dies jemand im SELF-Wiki aktualisieren? Vielen Dank im Voraus!

      Stelle deine Fragen also gerne weiterhin. Gute Fragen bringen uns alle gemeinsam voran!

      Dito!

      Herzliche Grüße

      Matthias Scharwies

      --
      Einfach mal was von der ToDo-Liste auf die Was-Solls-Liste setzen.“
      1. problematische Seite

        Hallo Matthias,

        Das Folgekapitel Webserver/htaccess/Zugriffskontrolle hat ein ToDo: […]

        Das hatte ich auch gesehen – allerdings müsste erstmal geklärt sein was in welchen Artikel soll: die Artikel Zugriffskontrolle und Passwortschutz überschneiden sich und behandeln quasi das gleiche wobei letzterer aktueller zu sein scheint.

        Gruß,
        Tobias

        1. problematische Seite

          Hallo,

          Das Folgekapitel Webserver/htaccess/Zugriffskontrolle hat ein ToDo: […]

          Das hatte ich auch gesehen – allerdings müsste erstmal geklärt sein was in welchen Artikel soll: die Artikel Zugriffskontrolle und Passwortschutz überschneiden sich

          vielleicht ist das gewollt; ich fände es gar nicht schlecht, die beiden Kapitel zusammenzufassen.

          und behandeln quasi das gleiche wobei letzterer aktueller zu sein scheint.

          Sieht so aus. Wenn man beide Kapitel behalten möchte, würde ich aber die Reihenfolge tauschen, denn der Passwortschutz ist eine bestimmte Methode der Zugriffskontrolle. Also erst ein allgemein gehaltenes Kapitel über die verschiedenen Methoden der Zugriffskontrolle (Passwortschutz dabei nur oberflächlich anreißen), dann den Passwortschutz als populäre Technik gezielt behandeln.

          Live long and pros healthy,
           Martin

          --
          Wer respektiert werden will, sollte zunächst damit anfangen, andere zu respektieren.