Toon posts:

[Apache] htaccess wil niet

Pagina: 1
Acties:

zaterdag 23 november 2002 18:46

Acties:
  • Erhnam
  • Registratie: Januari 2000
  • Laatst online: 08:15

Erhnam

het Hardware-Hondje :]

Topicstarter
Ik heb precies de stappen volgens diverse manuals gevolgd maar toch wil het niet lukken.. Ik wil mijn phpmyadmin directory beveiligen met htaccess.

Dit is wat ik heb gedaan:

- Deze regels toegevoegd aan httpd.conf:
code:
1
2
3

    <Directory "/usr/local/apache/htdocs/phpMyAdmin">
        AllowOverride AuthConfig
    </Directory>


- Apache gerestart

- htpasswd -c /root/htpasswd/phpmyadmin erhnam (vervolgens een passwd opgegeven)

- in de directory "/usr/local/apache/htdocs/phpMyAdmin" een bestandje .htaccess aangemaakt met de volgende regels:
code:
1
2
3
4

AuthName "restricted stuff"
AuthType Basic
AuthUserFile /root/htpasswd/phpmyadmin
require user erhnam


Getest of het werkt... hij vraagt wel om een wachtwoord en gebruikers naam maar na 3 keer invoeren krijg ik: Authorization Required 401

Het begint echt een beetje te duizelen :? Iemand een idee wat er fout is ? Alles is precies gedaan volgens diverse howto's maar toch wil die niet.

Bedankt voor alle nuttige reacties!

http://www.xbmcfreak.nl/

zaterdag 23 november 2002 19:03

Acties:
  • BOOTZ
  • Registratie: Maart 2001
  • Laatst online: 17-03 09:38

BOOTZ

heeft apache wel leesrechten op je htpasswd file? denk er aan dat het niet root is die die files leest maar www-data (of net wat je ingesteld hebt)

Maak je eigen poll

zaterdag 23 november 2002 20:29

Acties:
  • intoxicated
  • Registratie: Januari 2001
  • Niet online

intoxicated

Haaaai :w | ALT-S

BOOTZ schreef op 23 November 2002 @ 19:03:
heeft apache wel leesrechten op je htpasswd file?
Ga daar maar niet vanuit. Als Apache als root zou draaien, zou dat een vrij lullig beveiligingsgat zijn :)

Topicstarter, zet je htpasswd-spul in een directory waar de user waaronder je apache draait er ook wat mee mag doen. Dus bijv. in /usr/local/apache/ of elke willekeurige andere directory waar die user leesrechten heeft. Zolang je je htpasswd's maar NIET in een normaal te bereiken directory zet (zoals ....apache/htdocs/ ), want dan kan iedereen ze lezen en derhalve eenvoudig bruteforcen.

"Anyone who does not agree with me is mentally sick, and should be shot I'm afraid to say."
- Pastor Richards @ VCPR

zaterdag 23 november 2002 21:12

Acties:
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 16-05 21:55

Kees

Serveradmin / BOFH / DoC
overigens had je dit ook uit de errorlogs kunnen halen waarschijnlijk ;)

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

zaterdag 23 november 2002 21:30

Acties:
  • sebas
  • Registratie: April 2000
  • Laatst online: 16-12-2025

sebas

intoxicated schreef op 23 November 2002 @ 20:29:
[...]
Zolang je je htpasswd's maar NIET in een normaal te bereiken directory zet (zoals ....apache/htdocs/ ), want dan kan iedereen ze lezen en derhalve eenvoudig bruteforcen.
Niet met de standaard httpd.conf:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

#
# The following lines prevent .htaccess files from being viewed by
# Web clients.  Since .htaccess files often contain authorization
# information, access is disallowed for security reasons.  Comment
# these lines out if you want Web visitors to see the contents of
# .htaccess files.  If you change the AccessFileName directive above,
# be sure to make the corresponding changes here.
#
# Also, folks tend to use names such as .htpasswd for password
# files, so this will protect those as well.
#
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
</Files>


Dat neemt natuurlijk niet weg dat het sowieso onnodig is om de .htpasswd file in de webdir te zetten, het is een onnodig risico wat structureel vermeden zou moeten worden.

Everyone complains of his memory, no one of his judgement.

zaterdag 23 november 2002 21:39

Acties:
  • BOOTZ
  • Registratie: Maart 2001
  • Laatst online: 17-03 09:38

BOOTZ

sebas schreef op 23 November 2002 @ 21:30:
[...]

Niet met de standaard httpd.conf:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

#
# The following lines prevent .htaccess files from being viewed by
# Web clients.  Since .htaccess files often contain authorization
# information, access is disallowed for security reasons.  Comment
# these lines out if you want Web visitors to see the contents of
# .htaccess files.  If you change the AccessFileName directive above,
# be sure to make the corresponding changes here.
#
# Also, folks tend to use names such as .htpasswd for password
# files, so this will protect those as well.
#
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
</Files>


Dat neemt natuurlijk niet weg dat het sowieso onnodig is om de .htpasswd file in de webdir te zetten, het is een onnodig risico wat structureel vermeden zou moeten worden.
moet je de naam wel met .ht beginnen :P

Maak je eigen poll

zondag 24 november 2002 00:03

Acties:
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 30-03 15:43

_-= Erikje =-_

ehm, phpmyadmin doet ook auth stuff, probeer het eerst ff met een lege dir (dus met een test html bestandje)

zondag 24 november 2002 00:23

Acties:

Verwijderd

Kijk hier eens:

http://www.euronet.nl/~arnow/htpasswd/documentation.htm
You can do this using a tool on the WWW. All you need to do is fill in a name, the password and then re-type the password. The password calculator calculates a diffrent encrypted version every time you run it, this is not something to be alarmed about.

Using cut & paste (or by simply typing the password over) you save all the lines in the password file, and upload that file to the server. A normal password file that allows acces to pumpkin, radish and john would look something like this :


pumpkin:NgFQ1vnnW/tJk
radish:mWaquohh.OY3w
john:EMt8amgnyuYD2

It's crucial that you press enter after each line (the last line should be an empty one, not a line with a password entry in it) and that you upload the file as 'text' or 'ascii'. Also, keep in mind that these lines are case-sensitive; you should enter a capital as a capital and a lower-case character as a lower-case character.
l

Check ook ff je apache-logs..Ik denk dat je iets met cases fout gaat, of dat Apache je htpasswd niet mag lezen ivm rechten.

[ Voor 88% gewijzigd door Verwijderd op 24-11-2002 00:25 ]

zondag 24 november 2002 10:58

Acties:
  • intoxicated
  • Registratie: Januari 2001
  • Niet online

intoxicated

Haaaai :w | ALT-S

_-= Erikje =-_ schreef op 24 November 2002 @ 00:03:
ehm, phpmyadmin doet ook auth stuff, probeer het eerst ff met een lege dir (dus met een test html bestandje)
Uiteraard kan phpMyAdmin veilig zijn, maar 't even met een .htaccess beveiligen is een goed initiatief. Hele volksstammen beveiligen hun phpMyAdmin namelijk niet. Zoek maar eens bij Google:
http://www.google.nl/sear...lr=&ie=UTF-8&start=0&sa=N

Na 2 minuutjes klikken vind je al tientallen phpMyAdmin's die voor de hele wereld open staan. Daarvan springen de tranen in je ogen ;(

"Anyone who does not agree with me is mentally sick, and should be shot I'm afraid to say."
- Pastor Richards @ VCPR

zondag 24 november 2002 13:47

Acties:
  • Erhnam
  • Registratie: Januari 2000
  • Laatst online: 08:15

Erhnam

het Hardware-Hondje :]

Topicstarter
Denk dat ik het probleem al heb gevonden:

code:
1
2

[Sat Nov 23 19:27:28 2002] [error] [client 192.168.0.2] (13)Permission denied: Could not open password file: /root/htpasswd/phpmyadmin
[Sat Nov 23 19:27:28 2002] [error] [client 192.168.0.2] user erhnam not found: /phpMyAdmin/index.php3


Toch maar ff goed kijken naar de juiste rechten!

http://www.xbmcfreak.nl/

zondag 24 november 2002 13:53

Acties:
  • burne
  • Registratie: Maart 2000
  • Niet online

burne

Mine! Waah!

Niks kijken. Apache draait hopelijk niet op root, en je wilt de homedir van root niet op 666 zetten.

Kap nou met koppig doen en zet dat ding ergens anders.

Is je al eerder verteld.

I don't like facts. They have a liberal bias.

zondag 24 november 2002 14:06

Acties:
  • Erhnam
  • Registratie: Januari 2000
  • Laatst online: 08:15

Erhnam

het Hardware-Hondje :]

Topicstarter
Burne schreef op 24 november 2002 @ 13:53:
Niks kijken. Apache draait hopelijk niet op root, en je wilt de homedir van root niet op 666 zetten.

Kap nou met koppig doen en zet dat ding ergens anders.

Is je al eerder verteld.
Hier onder draait apache op...
#
User nobody
Group nobody

Nee het is inderdaad niet mijn bedoeling de hele root dir onder 666 te modden.. Er staat maar 1 bestandje:

code:
1
2

root@server:~/htpasswd# ls
phpmyadmin


Maar bedankt voor je tip zal hem wel ergens anders zetten ( en niet in de htdocs dir ;) )

http://www.xbmcfreak.nl/

zondag 24 november 2002 14:11

Acties:
  • burne
  • Registratie: Maart 2000
  • Niet online

burne

Mine! Waah!

Erhnam schreef op 24 november 2002 @ 14:06:
Maar bedankt voor je tip zal hem wel ergens anders zetten ( en niet in de htdocs dir ;) )
Ik heb in /var/www de volgende dingen staan:

/var/www/html
/var/www/cgi-bin
var/www/protected-cgi
/var/www/passwd

De eerste drie zijn directories, de laatste is een bestand. En user apache heeft als homedir /var/www

Overzichtelijk, toch?

I don't like facts. They have a liberal bias.

dinsdag 26 november 2002 00:33

Acties:
  • Erhnam
  • Registratie: Januari 2000
  • Laatst online: 08:15

Erhnam

het Hardware-Hondje :]

Topicstarter
Okee het is allemaal perfect gelukt.. Bedankt voor de moeite.. maar nuu heb ik nog een vraag:

Is het mogelijk om een pagina als deze:

http://192.168.0.1/cgi-bin/qmailadmin

op dezelfde manier te beveiligen ? je hebt niet specifiek een directory waar je dat bestand in zet nl. Iemand een idee?

http://www.xbmcfreak.nl/

Pagina: 1
Reageer