.htaccess: Unterschied zwischen den Versionen
(Beschreibung des Zugriffs auf Authentifizierungsinfos aus CGI-Anwendungen heraus.) |
|||
| (22 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
Mit <code>.htaccess</code> Dateien innerhalb der Dokument-Verzeichnisse einer Domain (möglichst in ~/doms/example.com/.htaccess oder gezielt in Unterverzeichnissen subs/www ect. ), können Einstellungen des Apache Webservers konfiguriert werden. | |||
[[ | Zum Beispiel kann angegeben werden, welches Apache-Modul für bestimmte Dateien (oder bestimmte Datei-Endungen) benutzt werden soll, wohin Dokumente verschoben worden sind, oder auch, wer Zugriff auf die Dateien hat. | ||
== Einstellen von MIME-Typen == | |||
# Download von Zertifikaten ermöglichen: | |||
AddType application/x-x509-ca-cert .crt | |||
== Einstellen des im HTTP Header angegebenen Zeichensatzes == | |||
für .html Dateien: | |||
AddCharset UTF-8 .html | |||
# oder | |||
AddDefaultCharset UTF-8 | |||
(für PHP Skripte siehe [[PHP]] ) | |||
== Einstellen von Datei Handlern == | |||
AddType application/x-httpd-phpcgi .php | |||
Action application/x-httpd-phpcgi /fastcgi-bin/phpstub | |||
==Passwortschutz für Dateien== | ==Passwortschutz für Dateien== | ||
'''Achtung:''' Sofern der Zugriff http Zugriff auf die Dateien nicht automatisch auf https:// bzw. [[TLS_/_SSL|SSL]] umgeleitet wird, können die Passwörter unverschlüsselt übertragen werden! | |||
Zunächst wollen wir den Zugriff auf ein Unterverzeichnis unserer Beispiel-Domain per .htaccess einschränken. Dazu legen wir zunächst eine Passwort-Datei an. Am einfachsten lässt sich diese spezielle Passwort-Datei in einer Shell anlegen. Wir legen sie in das etc-Verzeichnis der Domain: | Zunächst wollen wir den Zugriff auf ein Unterverzeichnis unserer Beispiel-Domain per .htaccess einschränken. Dazu legen wir zunächst eine Passwort-Datei an. Am einfachsten lässt sich diese spezielle Passwort-Datei in einer Shell anlegen. Wir legen sie in das etc-Verzeichnis der Domain: | ||
| Zeile 32: | Zeile 55: | ||
Die Sternchen * stehen selbstverständlich für das jeweilige Passwort, welches dem User zugeordnet werden soll. | Die Sternchen * stehen selbstverständlich für das jeweilige Passwort, welches dem User zugeordnet werden soll. | ||
Diese Datei könnten wir auch einfach mit scp/pscp oder FTP hochladen, dabei stellt sich dann jedoch die Frage, wie wir sie erzeugen. Auf den meisten Windows-Systemen dürfte kein htpasswd-Kommando verfügbar sein. Für diese Fälle | Diese Datei könnten wir auch einfach mit scp/pscp oder FTP hochladen, dabei stellt sich dann jedoch die Frage, wie wir sie erzeugen. Auf den meisten Windows-Systemen dürfte kein htpasswd-Kommando verfügbar sein. Für diese Fälle gibt es eine online-Version z.b.: https://de.functions-online.com/crypt.html | ||
die Ausgabe einfach mit Copy&Paste in eine Datei kopieren und diese hochladen. | |||
Die so angelegte Passwort-Datei kann nun von einer oder mehreren .htaccess-Dateien verwendet werden. Dazu begeben wir uns in das zu schützende Verzeichnis und legen dort eine Datei .htaccess an. Dies kann wieder per Upload oder in einer Shell geschehen. Die Datei kann beispielsweise so aussehen: | Die so angelegte Passwort-Datei kann nun von einer oder mehreren .htaccess-Dateien verwendet werden. Dazu begeben wir uns in das zu schützende Verzeichnis und legen dort eine Datei .htaccess an. Dies kann wieder per Upload oder in einer Shell geschehen. Die Datei kann beispielsweise so aussehen: | ||
| Zeile 39: | Zeile 63: | ||
allow from all | allow from all | ||
require valid-user | require valid-user | ||
Authname | Authname "Privater Bereich, bitte Anmelden." | ||
Authtype Basic | Authtype Basic | ||
AuthUserFile /home/doms/example.com/etc/.htpasswd | AuthUserFile /home/doms/example.com/etc/.htpasswd | ||
Dabei verweist die letzte Zeile auf die von uns angelegte .htpasswd Datei. Zu beachten ist: | |||
* Das die Pfadangabe absolut erfolgt, um einen "Internal Server Error" zu vermeiden. | |||
* Falls die Datei innerhalb des Dokumenten Verzeichnisses liegen muss, sie auf jeden Fall .htpasswd heißt, damit sie vom Webserver nicht herausgegeben wird. | |||
* Die .htaccess Datei in den Paketdomains innerhalb des web/ bzw. web-ssl/ Verzeichnisses liegen muss, damit kein "Internal Server Error" auftritt. | |||
===Passwortschutz von CGI- und PHP-Anwendungen=== | ===Passwortschutz von CGI- und PHP-Anwendungen=== | ||
Mit dem beschriebenen Mechanismus können selbstverständlich auch PHP-Skripte und CGI-Anwendungen vor unberechtigten Zugriffen geschützt werden. In dem geschützten Skript kann über die Umgebungsvariable <code> | Mit dem beschriebenen Mechanismus können selbstverständlich auch PHP-Skripte und CGI-Anwendungen vor unberechtigten Zugriffen geschützt werden. In dem geschützten Skript kann über die Umgebungsvariable <code>REDIRECT_REMOTE_USER</code> der Benutzername des Benutzers abgefragt werden, der sich angemeldet hat. | ||
In PHP-Skripten kann mit Hilfe der automatisch global sichtbaren Variablen <code>$_ENV</code> auf die Umgebungsvariablen zugegriffen werden. Um die Variable <code>REDIRECT_REMOTE_USER</code> zu lesen, schreibt man also <code>$_ENV['REDIRECT_REMOTE_USER']</code>. | |||
== Redirects == | |||
Redirect permanent / http://www.example.com/ | |||
== Rewrite Rules == | |||
RewriteEngine On | |||
RewriteRule ^mailman/(.*)$ /cgi-bin/mailman/$1 | |||
== Nur SSL erlauben und automatisch umschalten == | |||
Bei per Symlink zusammengeschalteten Verzeichnissen, kann dies für die Verzeichnisse auf die nur per SSL zugegriffen werden soll, wie folgt erreicht werden: | |||
# SSL so fordern, dass ggf. Basic Auth nur einmal innerhalb von SSL abgefragt wird. | |||
# | |||
#SSLOptions +StrictRequire #Bei HS festgelegt. | |||
SSLRequireSSL | |||
ErrorDocument 403 https://xyz00.hostsharing.net/https/URL/mit/entspechendem/Ziel/Verzeichnis | |||
In diesem Beispiel wird auf eine xyz00 Domain umgeleitet für die das HS Zertifikat gilt. Liegen die Seiten nicht dort ist die entprechende URL des Speicherortes mit https:// anzugegeben. | |||
Bei separaten Verzeichnissen für ssl und nicht-ssl kann auch ein permanenter Redirekt gelegt werden. | |||
Beispiel: | |||
Redirect permanent / https://www.example.org/ | |||
Um alle http Requests nach https weiter zu leiten: | |||
RewriteEngine On | |||
RewriteCond %{SERVER_PORT} !=443 | |||
RewriteRule .* https://%{HTTP_HOST}:443%{REQUEST_URI} [QSA,R=permanent,L] | |||
==Verzeichnislisting ausschalten== | ==Verzeichnislisting ausschalten== | ||
Ruft ein Nutzer ein Verzeichnis auf, z.B. www.example.com/verzeichnis, so wird normalerweise die sich darin befindliche index.html als Standard aufgerufen. Gibt es | Ruft ein Nutzer ein Verzeichnis auf, z.B. www.example.com/verzeichnis, so wird normalerweise die sich darin befindliche index.html als Standard aufgerufen. Gibt es diese Datei nicht, wird der Inhalt des Verzeichnisses gelistet. Das kann ein Sicherheitsproblem sein. | ||
Die Einstellung | |||
IndexIgnore * | |||
sorgt dafür, dass alle Datein Unterhalb des Speicherortes der .htaccess Datei für das Verzeichnislisting ignoriert werden. | |||
Hinweis: Das Listen der Verzeichnisse kann auch schon auf Dateisystemebene durch ändern der Verzeichnisrechte (o-r) unterbunden werden, wodurch auch lokale User berücksichtigt werden. | |||
== Gesperrte Optionen == | |||
Einstellungen, die es ermöglichen würden, über den Webserver Rechte anderer | |||
User zu erhalten, sind nicht erlaubt. | |||
-- | |||
[[Kategorie:HSDoku]] | |||
[[Kategorie:WWW]] | |||
[[Kategorie:Glossar]] | |||
Version vom 24. Oktober 2022, 09:32 Uhr
Mit .htaccess Dateien innerhalb der Dokument-Verzeichnisse einer Domain (möglichst in ~/doms/example.com/.htaccess oder gezielt in Unterverzeichnissen subs/www ect. ), können Einstellungen des Apache Webservers konfiguriert werden.
Zum Beispiel kann angegeben werden, welches Apache-Modul für bestimmte Dateien (oder bestimmte Datei-Endungen) benutzt werden soll, wohin Dokumente verschoben worden sind, oder auch, wer Zugriff auf die Dateien hat.
Einstellen von MIME-Typen
# Download von Zertifikaten ermöglichen: AddType application/x-x509-ca-cert .crt
Einstellen des im HTTP Header angegebenen Zeichensatzes
für .html Dateien:
AddCharset UTF-8 .html # oder AddDefaultCharset UTF-8
(für PHP Skripte siehe PHP )
Einstellen von Datei Handlern
AddType application/x-httpd-phpcgi .php Action application/x-httpd-phpcgi /fastcgi-bin/phpstub
Passwortschutz für Dateien
Achtung: Sofern der Zugriff http Zugriff auf die Dateien nicht automatisch auf https:// bzw. SSL umgeleitet wird, können die Passwörter unverschlüsselt übertragen werden!
Zunächst wollen wir den Zugriff auf ein Unterverzeichnis unserer Beispiel-Domain per .htaccess einschränken. Dazu legen wir zunächst eine Passwort-Datei an. Am einfachsten lässt sich diese spezielle Passwort-Datei in einer Shell anlegen. Wir legen sie in das etc-Verzeichnis der Domain:
xyz00-doms@hopi$ cd ~/doms/example.com/etc xyz00-doms@hopi$ htpasswd -c .htpasswd peter New password: ***** Re-type new password: ***** xyz00-doms@hopi$
Beim ersten User, hier peter wird das Programm htpasswd mit der Option -c (create) aufgerufen, aber auch wirklich nur beim ersten mal, da sonst die Datei .htpasswd neu erzeugt werden würde und vorherige Einträge damit gelöscht wären.
Sollte es beim Versuch, die Datei anzulegen, zu der Fehlermeldung kommando htpasswd nicht bekannt kommen, dann müssen wir zunächst den Befehl lokalisieren und mit dem richtigen Pfad neu aufrufen:
xyz00-doms@hopi$ locate htpasswd /usr/sbin/htpasswd xyz00-doms@hopi$ /usr/sbin/htpasswd -c .htpasswd peter
Beim zweiten User erfolgt der Aufruf dann ohne die Option -c:
xyz00-doms@hopi$ htpasswd .htpasswd petra New password: ***** Re-type new password: ***** xyz00-doms@hopi$
Die Sternchen * stehen selbstverständlich für das jeweilige Passwort, welches dem User zugeordnet werden soll.
Diese Datei könnten wir auch einfach mit scp/pscp oder FTP hochladen, dabei stellt sich dann jedoch die Frage, wie wir sie erzeugen. Auf den meisten Windows-Systemen dürfte kein htpasswd-Kommando verfügbar sein. Für diese Fälle gibt es eine online-Version z.b.: https://de.functions-online.com/crypt.html die Ausgabe einfach mit Copy&Paste in eine Datei kopieren und diese hochladen.
Die so angelegte Passwort-Datei kann nun von einer oder mehreren .htaccess-Dateien verwendet werden. Dazu begeben wir uns in das zu schützende Verzeichnis und legen dort eine Datei .htaccess an. Dies kann wieder per Upload oder in einer Shell geschehen. Die Datei kann beispielsweise so aussehen:
order allow,deny allow from all require valid-user Authname "Privater Bereich, bitte Anmelden." Authtype Basic AuthUserFile /home/doms/example.com/etc/.htpasswd
Dabei verweist die letzte Zeile auf die von uns angelegte .htpasswd Datei. Zu beachten ist:
- Das die Pfadangabe absolut erfolgt, um einen "Internal Server Error" zu vermeiden.
- Falls die Datei innerhalb des Dokumenten Verzeichnisses liegen muss, sie auf jeden Fall .htpasswd heißt, damit sie vom Webserver nicht herausgegeben wird.
- Die .htaccess Datei in den Paketdomains innerhalb des web/ bzw. web-ssl/ Verzeichnisses liegen muss, damit kein "Internal Server Error" auftritt.
Passwortschutz von CGI- und PHP-Anwendungen
Mit dem beschriebenen Mechanismus können selbstverständlich auch PHP-Skripte und CGI-Anwendungen vor unberechtigten Zugriffen geschützt werden. In dem geschützten Skript kann über die Umgebungsvariable REDIRECT_REMOTE_USER der Benutzername des Benutzers abgefragt werden, der sich angemeldet hat.
In PHP-Skripten kann mit Hilfe der automatisch global sichtbaren Variablen $_ENV auf die Umgebungsvariablen zugegriffen werden. Um die Variable REDIRECT_REMOTE_USER zu lesen, schreibt man also $_ENV['REDIRECT_REMOTE_USER'].
Redirects
Redirect permanent / http://www.example.com/
Rewrite Rules
RewriteEngine On RewriteRule ^mailman/(.*)$ /cgi-bin/mailman/$1
Nur SSL erlauben und automatisch umschalten
Bei per Symlink zusammengeschalteten Verzeichnissen, kann dies für die Verzeichnisse auf die nur per SSL zugegriffen werden soll, wie folgt erreicht werden:
# SSL so fordern, dass ggf. Basic Auth nur einmal innerhalb von SSL abgefragt wird. # #SSLOptions +StrictRequire #Bei HS festgelegt. SSLRequireSSL ErrorDocument 403 https://xyz00.hostsharing.net/https/URL/mit/entspechendem/Ziel/Verzeichnis
In diesem Beispiel wird auf eine xyz00 Domain umgeleitet für die das HS Zertifikat gilt. Liegen die Seiten nicht dort ist die entprechende URL des Speicherortes mit https:// anzugegeben.
Bei separaten Verzeichnissen für ssl und nicht-ssl kann auch ein permanenter Redirekt gelegt werden.
Beispiel:
Redirect permanent / https://www.example.org/
Um alle http Requests nach https weiter zu leiten:
RewriteEngine On
RewriteCond %{SERVER_PORT} !=443
RewriteRule .* https://%{HTTP_HOST}:443%{REQUEST_URI} [QSA,R=permanent,L]
Verzeichnislisting ausschalten
Ruft ein Nutzer ein Verzeichnis auf, z.B. www.example.com/verzeichnis, so wird normalerweise die sich darin befindliche index.html als Standard aufgerufen. Gibt es diese Datei nicht, wird der Inhalt des Verzeichnisses gelistet. Das kann ein Sicherheitsproblem sein.
Die Einstellung
IndexIgnore *
sorgt dafür, dass alle Datein Unterhalb des Speicherortes der .htaccess Datei für das Verzeichnislisting ignoriert werden.
Hinweis: Das Listen der Verzeichnisse kann auch schon auf Dateisystemebene durch ändern der Verzeichnisrechte (o-r) unterbunden werden, wodurch auch lokale User berücksichtigt werden.
Gesperrte Optionen
Einstellungen, die es ermöglichen würden, über den Webserver Rechte anderer User zu erhalten, sind nicht erlaubt. --