.htaccess Schutz klappt ums Verrecken nicht

[toppen]

Hallo Leute,

nach stundenlangen Tests und Stunden, die ich hier mit Lesen verbracht habe, muss ich nun mal fragen:

Bin ich zu doof?

Mein Problem:

Ich will eine Website mit einzelnen Verzeichnissen durch eine .htaccess Datei schützen.

Der Pfad ist "/volume1/homes/test/www/"

In diesem Verzeichnis des users liegt die "index.html" und die ".htaccess".
Rufe ich nun meine Domain auf, kommt auch die Abfrage mit "user" und "Passwort". Wenn ich das aber eingebe bekomme ich die Fehlermeldung

"Die Website kann diese Seite nicht anzeigen.
HTTP 500
Wahrscheinlichste Ursachen:
•Die Website wird momentan gewartet.
•Die Website enthält einen Programmierfehler.
"

angezeigt.
Was bitte mache ich falsch? Habe es nach der Anleitung im Wiki gemacht.

Bin für jede Hilfe dankbar.

Viele Grüße,

Marc

 

[itari]

Poste doch einmal die .htaccess-Datei. Auch die Berechtigungen dieser wäre interessant.

Wird ohne .htaccess die index.html richtig angezeigt?

Itari

 

[jahlives]

Frage: Wo genau liegt die htpasswd Datei? Etwa im geschützten Bereich? Dann kann htaccess die passwd Datei nicht lesen und wirft einen Fehler

 

[toppen]

Hallo!

So, es hat etwas länger gedauert und ich habe einen Tei lder Fehler schön selber bereinigt. Zum Aufbau (von oben nach unten):

Ordner "www"
Ordner "intern" | Ordner "passwd" | index.html => Da komme ich jetzt problemlos drauf.
Im Ordner "intern" sind die zu schützenden Verzeichnisse und die .htaccess
Im Ordner "passwd" ist die normal.pw Datei, die die User mit Passwort enthält.

Wenn ich nun auf meine Seite gehe, komme ich auf die index.html. Von dieser gehts in den Internen Bereich. Klicke ich auf dne Link, so kommt die Abfrage. Dort kann ich jetzt aber User und Passwort eingeben. Es passiert jedoch nichts. Nach dem 3. Versuch kommt nun der Fehler 401:

"Authorization Required
This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.


--------------------------------------------------------------------------------

Apache/2.2.16 (Unix) mod_ssl/2.2.16 OpenSSL/1.0.0a PHP/5.3.3 Server at xxxyz.de Port 80"

 

[stealthT]

Poste doch einmal die .htaccess-Datei. Auch die Berechtigungen dieser wäre interessant.


Itari

Hast du Passwortdatei richtig benannt?

 

[toppen]

Oh, vergessen.

Hier die .htaccess

AuthName "Title"
AuthType "Basic"
AuthUserFile "/volume1/homes/test/www/passwd/normal.pw"
require hoga hogb kammergrund

und die normal.pw

hoga:test
hogb:test
kammergrund:test

 

[jahlives]

Passworte müssen in passwd Dateien verschlüsselt stehen. Es gibt viele Online Tools dafür (http://www.htaccesstools.com/htpasswd-generator/) obwohl der Befehl dazu afaik auch in der Firmware dabei sein müsste

 

[toppen]

Und dann gebe ich z. B. trotzdem "test" als pw ein?
Und dann gehts?

 

[jahlives]

Du gibst in der Maske das PW test ein. Im passwd File steht aber nicht test, sondern ein kryptischer String. Sobald der Apache dein test PW bekommt wird er es mit der gleichen Funktion "verschlüsseln" und dann mit dem Wert in htpasswd vergleichen. Stimmen die überein, dann ist der User authentifiziert.

AuthUserFile "/volume1/homes/test/www/passwd/normal.pw"

und wo genau in diesem Pfad liegt denn die htaccess Datei?

 

[toppen]

Ok, ich teste.
Die htaccess liegt im Ordner "intern", welcher im Ordner "www" liegt.

 

[toppen]

So, probiert. Ich verstehe das tool so, dass ich username und pw eingebe und die daruas errechnete Zeile in die normal.pw eintrage.
Habe ich gemacht und geht nicht.

 

[jahlives]

Drum auch noch die Frage meinerseit wo genau die htaccess Datei liegt. Denn der jenachdem wo sie liegt unterbindet sie auch den Zugriff auf htpasswd d.h. der Server kann gar nicht nachgucken ob das PW stimmt oder nicht weil ihm die Rechte fehlen.
Bitte gib mal an in welchem Verzeichnis die htaccess Datei liegt und wo genau die htpasswd. Bitte komplette Pfade angeben

 

[toppen]

Der Pfad ist:

"/volume1/homes/test/www/intern/.htaccess"

und

"/volume1/homes/test/www/passwd/normal.pw"

 

[jahlives]

Und die .htaccess liegt sicher nicht direkt in www? Zumdem ist passwd auch garantiert kein Unterverzeichnis von intern? Dann scheint von der "Lage" der Files her alles korrekt zu sein. Dann muss der Fehler im passwd File selber sein.
Ich guck mir das mal bei mir zu Hause an und melde mich wieder

 

[toppen]

Alles so, wie es sich gehört.
Liegts daran, weil ich die teile mit dem Editor erstellt habe?

 

[toppen]

Ich habs:

Es lag an den Anführungszeichen...

 

[jahlives]

Ich habs:

Es lag an den Anführungszeichen...

Du hast Anführungszeichen in die htpasswd übernommen???

 

[toppen]

Nee. In die .htaccess - beim Pfad. Der Stand in Anführungszeichen. Blöd.
Aber es lag ja auch an der Verschlüsselung. Die hatte ich vorher auch nicht.
Kann ich denn das Verzeichnis, in der die normal.pw (Passwortdatei) liegt nun auch noch schützen? Sonst kann da ja jeder reingucken. Oder ist das egal, da dort nur ein langer Schlüssel pro User drin liegt? Kann man das rückschlüsseln? Oder muss ich das Verzeichnis nicht schützen?

 

[jahlives]

Es gibt mehrere Möglichkeiten die htpasswd zu schützen:
1. legt dir in diesem Verzechnis eine .htaccess Datei an (ohne PW Schutz) und verweigere dort drin jegliche Zugriffe auf das Verzeichnis. Der Server liest das File via Dateisystem aus bei der Auth und ist damit nicht von dieser Einschränkung betroffen

2. leg die htpasswd Datei ausserhalb des DocumentRoots ab. Der Webserver braucht zwar immer noch Leserechte auf die Datei, aber da sie ausserhalb von DocRoot liegt, kann man sie über die URL niemals erreichen. Es ist also ausgeschlossen, dass ein User diese Datei im Browser sehen kann

3. gib der Datei einen solch kryptischen Namen, dass nie ein User drauf kommen würde, dass eine solche Datei vorhanden sein könnte

Persönlich verwende ich 2) um bestimmte Verzeichnisse bei mir zu schützen.
3) ist nicht ganz ernst gemeint, aber es gibt Leute die das so machen Dieser Ansatz heisst Security by Obscurity. Dem müsste man anfügen "is no security at all"

 

[toppen]

Für mich als DAU erscheint Möglichkeit 1 die einfachste zu sein.
Wie kan ich in der htaccess dann jeglichen Zugriff auf das Verzeichnis verweigern?