Hi,

ich habe gerade ein Verzeichniss schutz auf einen Admin Ordner gelegt auf meinem Root server, um das Admin Problem einfach (und sicher) zu lösen.

Wie sicher ist der HTACCESS Schutz?

Ich habe ganz normale eine .htaccess im gewünschten ordner, und verlinke von da auf die .htpasswd datei unter dem Webspace Ordner.

also zB
/home/user/public_html/admin/ -> hier liegt meine .htaccess
/home/user/htaccess/ -> hier liegt die .htpasswd

Viele sagen HTACCESS ist sehr sicher, und nur knackbar mit ftp oder ssh Zugang... ist das so richtig ?

Irgendwie musste ich dem Ordner /home/user/htaccess/ chmod 007 zuweisen damit der .htaccess auf die .htpasswd zugreifen kann.

In wiefern ist das eine Sicherheitslücke ?!

Wäre dankbar für eine Erklärung und paar Links falls ich mich in sachn Linux, Apach, Chmod noch bilden kann :P .

Danke schonmal !

caio

.htaccess ist so sicher, wie die darin enthaltenden User- und Passwortkombinationen bzw. wie die darin verwendete Auth-Methode (von evtl. Bugs der Serversoftware mal abgesehen).

Login und Passwort laufen im Klartext über's Netz, solange Du nicht https verwendest.

Zu chmod und Artverwandten lässt sich nur sagen: Der Webserver muss lesenden Zugriff auf die Dateien haben - alles, was darüber hinausgeht ist eigentlich zu viel.

Das klingt ja schonmal nicht schlecht...

nur du sagst der Server soll nur Lese und Schreibrechte besitzen.... doch wenn ich die Rechte von der HTPASSWD auf 700 zB setze kommt ein fehler... ich versteh selbst nicht so richtig warum die HTPASSWD zugriff von außen benötigt... ( rwx - public )

hat jemand TIpps wie man es schaffn kann der HTPASSWD 700 Recht zu geben und die Sache dann trotzdem noch funktioniert ?

unter welchem User läuft der Webserver? Wem gehört die .htpasswd?

stimmt.... irgendwie wird da das Problem liegen.

ich habe den apache als root installiert und daher treten wahrscheinlich die Fehler auf !

Was ist nun sicherer ? Apache neu installieren als anderen Benutzer bzw. den Owner wechseln oder dem Root erlauben in die Datei zu schreiben ?

Jemand ne Idee wie ich vorgehen soll ?

Als welcher User der Apache installiert wurde ist völlig egal - entscheidend ist, unter welchem User er läuft (und auch hier: laufen != starten, dass muss root machen).

Unter welchem User läuft denn nun der Apache?

(und bitte lass das kein root-Server sein...)

www-data 2283 0.0 1.3 19548 6840 ? S Feb04 0:00 /usr/sbin/apache2 -k start
www-data 2284 0.0 1.3 19548 6856 ? S Feb04 0:00 /usr/sbin/apache2 -k start
www-data 2285 0.0 1.3 19548 6836 ? S Feb04 0:00 /usr/sbin/apache2 -k start
www-data 2286 0.0 1.3 19548 6856 ? S Feb04 0:00 /usr/sbin/apache2 -k start
www-data 2287 0.0 1.3 19544 6880 ? S Feb04 0:00 /usr/sbin/apache2 -k start

www-data ...
ich hab damals nur den apache installiert, also müsste es default sein .


-> hab auch mal chown auf www-data gesetzt und siehe da , es funktioniert !
Wie siehts mit der Sicherheit mit www-data aus ? das ist doch nur ein " benutzer " der den webserver charakterisiert oder ?

Ob das unsicher ist oder nicht hängt von der restlichen Konfiguration des Servers ab. Wenn Du nicht viel verbogen hast ist es aber ok.

(mehr dazu z.B. auf www.debiananwenderhandbuch.de, da sollte es AFAIK ein Bereich zum Härten von Apache / dem System geben, ebenso auf der Apache-Seite).

Im konkrete Fall sollte also die .htpassed dem User www-data gehören, Gruppe kann root sein und Rechte wären am "sichersten" 0400.

super Community hier :), danke für die Hilfe, Problem ist gelöst !

Schönen Tag noch .