Toggle sidebar

Ganzer Webserver per htaccess absichern ?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
king_dingeling

king_dingeling

Benutzer
Registriert
12. Juli 2009
Beiträge
1.178
Reaktionspunkte
0
Punkte
62
Hallo

Da ich meine Website wieder "professionell" hoste, will ich den Zugriff auf die DS komplett mittels htaccess absichern. Ist dies möglich ? Photostation und Webserver sind ja zwei verschiedene Webserver oder ? Ich würde drum gerne die Diskstation weiter laufen lassen, möchte aber nicht dass die Platten bei jedem Zugriff hochfahren. Weiss da einer evtl. Rat ?

Gruss Andi
 
Hei Andi

die Photostation und der "normale" Webserver laufen auf demselben Webserver. Nämlich demjenigen, der unter nobody läuft. Du kannst grundsätzlich in jedes Verzeichnis das du schützen willst eine .htaccess legen.
Du kannst ja eine .htaccess in /volume1/web ablegen und dann darauf aus anderen zu schützenden Verzeichnissen verlinken z.B.
Code: 
ln -s /volume1/web/.htaccess /usr/syno/synoman/phpsrc/photo/
ln -s /volume1/web/.htaccess /usr/syno/synoman/phpsrc/blog/
hat den Vorteil, dass du nur eine .htaccess Datei bearbeiten musst

Gruss

tobi
 
Das Absichern sollte schon funktionieren, aber ich denke die Disk wird deshalb trotzdem geweckt ...
Setze die htaccess zusätzlich in die Ordner von PhotoStation etc. (genauen Orte sind hier irgendwo im Forum zu finden).

MfG Matthieu
 
jahlives schrieb:
Hei Andi

die Photostation und der "normale" Webserver laufen auf demselben Webserver. Nämlich demjenigen, der unter nobody läuft. Du kannst grundsätzlich in jedes Verzeichnis das du schützen willst eine .htaccess legen.
Du kannst ja eine .htaccess in /volume1/web ablegen und dann darauf aus anderen zu schützenden Verzeichnissen verlinken z.B.
Code: 
ln -s /volume1/web/.htaccess /usr/syno/synoman/phpsrc/photo/
ln -s /volume1/web/.htaccess /usr/syno/synoman/phpsrc/blog/
hat den Vorteil, dass du nur eine .htaccess Datei bearbeiten musst

Gruss

tobi
Zum Vergrößern anklicken....

Klingt schon mal gut. Wären diese Links dauerhaft oder müsste man die in ein Startskript einbauen ?


Matthieu schrieb:
Das Absichern sollte schon funktionieren, aber ich denke die Disk wird deshalb trotzdem geweckt ...
Zum Vergrößern anklicken....

Das wäre allerdings sch....
 
Die Links sind fix im Dateisystem. Einmal angelegt und vergessen... ;)
Wie Matthieu schon sagte werden die Platten sicherlich geweckt. Denn der Apache liest die .htaccess bei JEDEM Zugriff auf ein geschütztes Verzeichnis. Damit dürfte auch die Platte geweckt werden.
Die Chancen, dass die Platte nicht geweckt wird, wären bei einer IPTables Regel sicher höher, als bei einer .htaccess
 
jahlives schrieb:
Die Links sind fix im Dateisystem. Einmal angelegt und vergessen... ;)
Wie Matthieu schon sagte werden die Platten sicherlich geweckt. Denn der Apache liest die .htaccess bei JEDEM Zugriff auf ein geschütztes Verzeichnis. Damit dürfte auch die Platte geweckt werden.
Die Chancen, dass die Platte nicht geweckt wird, wären bei einer IPTables Regel sicher höher, als bei einer .htaccess
Zum Vergrößern anklicken....

Und wenn ich die .htaccess jetzt auf einem USB-Stick ablegen und im Dateisystem darauf verlinken würde ?
 
king_dingeling schrieb:
Und wenn ich die .htaccess jetzt auf einem USB-Stick ablegen und im Dateisystem darauf verlinken würde ?
Zum Vergrößern anklicken....

Dann würde die DS den Link-Eintrag auf der Platte lesen müssen, um zu wissen, dass die .htaccess-Datei auf einem Stick ist.

Verabschiede dich davon, dass auf der DS irgendetwas geht ohne einen Plattenzugriff. Die einzige Möglichkeit (anderenorts schon heftig diskutiert) ist, alle zum Apache gehörenenden und verwendeten Dateien auf einen Stick zu schieben ... am besten die ganze Firmware auf eine SSD ... dann hast zwar Zugriffe, aber eben nicht mehr auf die Platte.

Itari
 
Oder du schiebst alles in den RAM z.B. nach /tmp
Allerdings muss dann der gesamte Apache Prozess und alle zugehörigen Dateien ebenfalls in /tmp liegen sonst werden die Platten wieder geweckt.
Wenn du z.B. die Restiktionen auf IPTables machst, dann sind imho die Chancen viel grösser, dass die Platten nicht geweckt werden müssen.
 
Naja, dann bleibt die DS halt ausgeschaltet tagsüber und läuft nur, wenn ich sie auch benötige. Ich wollte sie nur weiterbetreiben um auf die Photostation zugreifen zu können oder um mal an meine Daten zu kommen.
 
Ich verstehe dein Problem nicht ganz. Was wolltest du denn in die htaccess Datei schreiben, was nicht auch als IPTables-Regel ginge?
 
jahlives schrieb:
Ich verstehe dein Problem nicht ganz. Was wolltest du denn in die htaccess Datei schreiben, was nicht auch als IPTables-Regel ginge?
Zum Vergrößern anklicken....

Über IP-Tables schränk ich den Zugriff auf einzelne mögliche IP bzw. IP-Blöcke ein oder ? Wenn, dann soll jeder mit dem richtigen User und Passwort zugreifen können.
 
Ah du wolltest mittels htaccess eine Passwortabfrage machen? Das geht leider via IPTables ned. In IPtables kannst du nur Regeln basierend auf IP Adressen haben
 
jahlives schrieb:
Ah du wolltest mittels htaccess eine Passwortabfrage machen? Das geht leider via IPTables ned. In IPtables kannst du nur Regeln basierend auf IP Adressen haben
Zum Vergrößern anklicken....

Das dacht ich mir schon. Eine Möglichkeit wäre noch eine passwortgeschützte Portweiterleitung im Router. Da sowieso ein Neuer fällig wird, werd ich mal nach so einem Feature Ausschau halten, wenns sowas überhaupt gibt. :)
 
Leg doch sonst einfach den externen Port weg von Port 80. Die User müssen ihn dann zwar immer eintippen, aber die meisten Script-Kiddies kommen nicht auf den neuen Port
 
king_dingeling schrieb:
Eine Möglichkeit wäre noch eine passwortgeschützte Portweiterleitung im Router.
Zum Vergrößern anklicken....

Der Ansatz ist schon mal richtig. Jedoch ohne Passwort. Bei der Fritz!Box kannst du zum Beispiel festlegen welcher Port weitergeleitet wird. Du kannst externen Port z.B. 81 oder auch 80 auf Port 80 von DS legen. Da Steuerung über 5001 läuft wird es extern nicht angezeigt. Photostation kannst du im Frondend per User+Passwort verregeln.

Ist eigentlich alles easy.

Photostation und Webserver sind ja zwei verschiedene Webserver oder ?
Zum Vergrößern anklicken....
Ich glaube es ist ein Server. CMS kann man als admin eingeloggt im frontend verwalten.
 
Zuletzt bearbeitet:
So wie ich den King verstanden habe möchte er verhindern, dass die Platten geweckt werden, wenn ein Zugriff verweigert wird. Das geht nur mit einer Firewall möglichst weit weg von der DS. Nur eine Gateway Firewall könnte einen Zugriff so blocken, dass die Platten nicht aufwachen. Es gibt sicherlich Firewalls die eine User-Auth vor der Portweiterleitung verlangen. Diese dürften dann aber eher im Profisegment angesiedelt sein und eine entsprechende Stange Geld kosten.
Was evenutell noch eine Lösung sein könnte mit Homeroutern: Viele Router bieten die Möglichkeit eine Portweiterleitung nur dann zu aktivieren, wenn zuvor eine definierte Sequenz von Ports angefragt wird.
 
Mittlerweile bin ich schon bei SSL-VPN angelangt :D Wahrscheinlich wird es so etwas in der Richtung schlussendlich geben. Der Zugriff muss einfach von überall her und ohne Softwareinstallation möglich sein. Die dürfte mit SSL-VPN möglich sein oder ? Vorteil wäre weiter, dass man zum Beispiel mehrere Port 80 Verbindungen initiieren könnte. :)
 
Zuletzt bearbeitet:
Verstehe nicht ganz was du möchtest.
 
king_dingeling schrieb:
Mittlerweile bin ich schon bei SSL-VPN angelangt :D Wahrscheinlich wird so etwas in der Richtung schlussendlich geben. Der Zugriff muss einfach von überall her und ohne Softwareinstallation möglich sein. Die dürfte mit SSL-VPN möglich sein oder ? Vorteil wäre weiter, dass man zum Beispiel mehrere Port 80 Verbindungen initiieren könnte. :)
Zum Vergrößern anklicken....
Jeder Client braucht dann eine Clientsoftware, um die VPN Verbindung zu deinem Router aufzubauen. Das kann je nach VPN Software auf dem Router ziemlich tricky werden. Was meist zuverlässig funzt sind Router zu Router VPN Verbindungen.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten