/etc/passwd gebruiken in htaccess... - Linux en overige clients

donderdag 5 september 2002 11:19

Acties:

Topicstarter

Hallo,

Ik wil een directory op de server die in de www root staat alleen zichtbaar maken voor diegene die al kan inloggen op de server via bijvoorbeeld telnet of ssh.

Kan ik mbv .htaccess gebruik maken van het /etc/passwd bestand?

code:

AuthName "Vul hier uw gebruikersnaam en wachtwoord in"
AuthType Basic
AuthUserFile /etc/passwd                                             
require valid-user

werkt niet.

Weet iemand hoe dit kan of niet kan?

donderdag 5 september 2002 11:25

Acties:

Verwijderd

Oftewel iedereen die /etc/passwd kan lezen kan iedereen zijn wachtwoord zien. Waarom gebruik je dan wactwoorden ?

donderdag 5 september 2002 11:34

Acties:

Slagroom

Topicstarter

Ik wil een directory afschermen... en hij moet de gebruikers gebruiken die al op de linux bak staan? Weet iemand daar wat over?

donderdag 5 september 2002 11:39

Acties:

Verwijderd

Hier staat een stukje over het 'syncen' van /etc/passwd en .htpasswd: http://industry.ebi.ac.uk/w2h/Doc/install.html
Ergens anders taat ook:

If you are using the server's /etc/passwd file (which limits access to legit usernames on the server created using the browser interface) then the AuthUserFile line of the .htaccess should be:

AuthUserFile /etc/passwd

Note: the above method is NOT recommended as it opens up the server to brute force password attacks through the web server. The method below provides better security.

overigens is dit gewoon een resultaat van google op "/etc/passwd" en ".htpasswd", dat kan jij ook hoor...;)

donderdag 5 september 2002 22:08

Acties:

igmar

ISO20022

Slagroom schreef op 05 september 2002 @ 11:19:
Hallo,

Ik wil een directory op de server die in de www root staat alleen zichtbaar maken voor diegene die al kan inloggen op de server via bijvoorbeeld telnet of ssh.

Kan ik mbv .htaccess gebruik maken van het /etc/passwd bestand?
code:
1
2
3
4
AuthName "Vul hier uw gebruikersnaam en wachtwoord in"
AuthType Basic
AuthUserFile /etc/passwd                                             
require valid-user
werkt niet.

Weet iemand hoe dit kan of niet kan?

Niet standaard nee. Wachtwoorden staan in /etc/shadow, en die is niet leesbaar voor non-root users.
Je kan /etc/shadow mergen met /etc/passwd (pwunconv), maar dit is alles behalve wijsheid.

vrijdag 6 september 2002 12:30

Acties:

capedro

je kan natuurlijk door middel van een script de passwords uit /etc/shadow halen en vervolgens een blacklist aanleggen van users die niet via de webserver er op mogen.

Als je dat doet door middel van een crontabje... dat 1 keer in de 24 uur wordt gestart... worden gelijk de passwords van de users gesynchroniseerd.

Ik heb al wel eens zoiets geschreven... maar heb het script niet meer.

Maar het is idd niet slim om direct te werken vanuit /etc/shadow.

My weblog

vrijdag 6 september 2002 15:03

Acties:

sebas

Bovendien ... op een beetje systeem staan in /etc/passwd helemaal geen passwords.

Oh, was al gezegd zie ik net.

Everyone complains of his memory, no one of his judgement.

donderdag 6 februari 2003 21:39

Acties:

MadMurdock

capedro schreef op 06 September 2002 @ 12:30:
je kan natuurlijk door middel van een script de passwords uit /etc/shadow halen en vervolgens een blacklist aanleggen van users die niet via de webserver er op mogen...

Heeft iemand enig idee of zo'n script al bestaat?

Ik wil namelijk precies hetzelfde, maar kan me niet voorstellen dat zoiets niet al véél vaker gedaan is door mensen. Helaas zijn de resultaten van google niet echt bevredigend

donderdag 6 februari 2003 21:43

Acties:

Tomaat

'cat /etc/shadow > /path/naar/users' is al iets waarmee je kan beginnen. en het geheel dan misschien door een pipe halen, om overbodige meuk eruit te filteren. dit kan d.m.v 'sed'.

donderdag 6 februari 2003 21:51

Acties:

Eärendil

Als je het veiliger wil doen zou je kunnen kijken naar een LDAP-server die alle authenticatie regelt, met PAM voor ssh-login en auth-ldap voor apache, maar dat is wel meer werk om op te zetten.

vrijdag 7 februari 2003 12:07

Acties:

MadMurdock

Opzich wil ik (voorlopig iig) nog niet overstappen naar een LDAP-server, dus zo'n scriptje wat eea filtert, lijkt me goed genoeg; ik heb dus in die /etc/shadow nu regels als:

user:UFQ2NFNpbKAKE:12071:0:99999:7:::

Hierbij wil ik dus alles (op dezelfde lijn) na de 2de dubbele punt verwijderen, zodat het wordt:

user:UFQ2NFNpbKAKE

Als enige veiligheidsoptie wil ik eigenlijk de 'root' login er helemaal uithebben.

Opzich niet zo moeilijk zou ik zeggen; het zal ongetwijfeld kunnen met 'sed' maar ik ben er nog niet uit. Is er iemand die even een voorzetje kan geven?

Thx

vrijdag 7 februari 2003 12:11

Acties:

Verwijderd

Ik heb gewoon een cronjob lopen die gewoon de user:pass elke minuut uit de /etc/passwd file ript en die in een andere file zet voor .htaccess. Werkt prima.

vrijdag 7 februari 2003 12:39

Acties:

MadMurdock

Verwijderd schreef op 07 February 2003 @ 12:11:
Ik heb gewoon een cronjob lopen die gewoon de user:pass elke minuut uit de /etc/passwd file ript en die in een andere file zet voor .htaccess. Werkt prima.

en als je mij dan ook je scriptje zou willen laten zien, zou ik je erg dankbaar zijn

vrijdag 7 februari 2003 12:45

Acties:

Verwijderd

MadMurdock schreef op 07 februari 2003 @ 12:39:
[...]

en als je mij dan ook je scriptje zou willen laten zien, zou ik je erg dankbaar zijn

code:

#!/usr/bin/perl
# ultra 31337 login voor .htaccess scriptje
# door Alain op 10-03-2002
# die al 3 jaar geen per meer heeft aangeraakt :)
# revisie 1

# vars
$file = "/etc/shadow";
$htpasswd = "/opt/domain/www.eendomeinnaampjeblaat.nl/.klantenpw";
#uitgesloten usernames
@uitgesloten =
('root','bin','daemon','adm','lp','sync','shutdown','halt','mail','news','uucp','operator','games','ftp','mysql','gdm','nobody','sys','man','proxy','majordom','postgres','backup','msql','list','irc','gnats','techni','inetd','telnetd','listar','identd','www-data');

# functies

# Haal de usernames uit de lijst die geen check nodig hebben
sub check {
        local($username) = @_;
        $return = "true";
        $x = 0;
        while ($uitgesloten[$x]) {
                if ($uitgesloten[$x] eq $username) {
                        $return = "false";
                }
                $x++;
        }
        return "$return";
}

sub schrijfweg {
        local($passline) = @_;
        open (HT, ">>$htpasswd") || die print "het lukte niet om de file $file te openen...\n\n";
        print HT "$passline\n";
        close(HT);
}


# mainprog

# file ff leegmaken
open (HT, ">$htpasswd") || die print "het lukte niet om de file $file te openen...\n\n";
close(HT);

# file openen
open (PWD, "<$file") || die print "het lukte niet om de file $file te openen...\n\n";

# spul uit de file in een mooie array gooie...
@inhoud = <PWD>;

# zolang er nog wat in staat dan lusse we ff
while ($inhoud[$i]) {

        # let's split
        (@username[$i] , @password[$i]) = split (/:/, $inhoud[$i]);
        if (&check($username[$i]) eq "true") {
                &schrijfweg("$username[$i]:$password[$i]");
        }
        $i++;
}
exit();

Let niet op de code, die heb ik toendertijd ff snel gemaakt.

vrijdag 7 februari 2003 12:46

Acties:

Verwijderd

Oude draad die wordt gekicked met een script request. Probeer eens zelf wat te maken, lees anders de Advanced Bash Scripting Guide maar eens door (te vinden op tldp.org). Deze gaat dicht.