Zugriff auf bestimmte Dateien erlauben

[snowball]

Hallo zusammen,

mein Problem ist folgendes.
Ich möchte Über .htaccess oder Konfiguration meines Apache 2.2 den Zugriff nur auf bestimmte Dateien erlauben. Z.B. index.php, main.php und *.jpg.

Hätte da jemand einen Hinweis für mich? Alles was ich in der reichlich vorhanden Dokumentation gefunden habe, ist die umgekehrte Version, bei der ich bestimmte Dateien ausschließen kann.

Danke schonmal.

Cheers,

Jochen

[Joe User]

Einzige Möglichkeit: Alle Files/Dirs die nicht von Apache verarbeitet werden sollen einer dedizierten User/Group-Kombination zuordnen und keine world-Rechte vergeben.

[snowball]

Einzige Möglichkeit: Alle Files/Dirs die nicht von Apache verarbeitet werden sollen einer dedizierten User/Group-Kombination zuordnen und keine world-Rechte vergeben.

Mhh, nicht so kompfortabel wie ich es mir erhofft hatte, aber immerhin eine Lösung.

Vielen Dank.

[dotme]

Alles was ich in der reichlich vorhanden Dokumentation gefunden habe, ist die umgekehrte Version, bei der ich bestimmte Dateien ausschließen kann.

Sollte einem aber nicht schwerfallen so ein Beispiel anzupassen, oder?

Zumindest müßtest Du in etwa in diese Richtung gehen (ungetestet):

Code: Select all

# cat .htaccess
Order Deny,Allow
Deny from All

<FilesMatch "^((main|index).php|.+.jpg)$">
    Allow from All
</FilesMatch>

Du kannst das auch unverändert in einen <Directory>-Kontext schreiben.

[Joe User]

Zumindest müßtest Du in etwa in diese Richtung gehen (ungetestet):

Allerdings schmeisst Apache dann Error 403 statt 404 bei den verbotenen Files...

[snowball]

Sollte einem aber nicht schwerfallen so ein Beispiel anzupassen, oder?

Doch, genau das ist mir schwer gefallen. Aber dein Bespiel funktioniert genau so, wie ich mir das gewünscht habe. Vielen Dank für Eure Hilfe.

Cheers,

Jochen

[dante77]

Macht das ganze eigentlich wirklich Sinn? Wirklich interessante Dateien wie /etc/passwd holt sich ein Angreifer ja eher über Löcher in PHP-Skripten.

[snowball]

Für micht macht es schon Sinn.

Es geht mir nicht um das anzeigen von Systemdateien. Sondern um das verhindern von direktem Zugriff auf template Daten. Die templates werden von meinem PHP includet. sollen aber nicht direkt anzeigbar sein. Normalerweise verhinderer ich das direkte anzeigen auch durch php funktionen. Die .htaccess Datei sollte auch nur als zusäzlicher Schutz dienen.

Leider funtkoiniert sie nicht so wie ich das wollte. Mit der weiter oben beschriebenen Datei wird auch der Aufruf ohne index Datei verhindert.
z.B

http://www.domain.de/ <- geht nicht
http://www.domain.de <- geht nicht
http://www.domain.de/index.php <- geht

Lieder habe ich noch nicht rausgefunden woran es liegt.

[Roger Wilco]

Lieder habe ich noch nicht rausgefunden woran es liegt.

Die FilesMatch Direktive von oben enthält keinen RegEx für "^$", also einen leeren String, wie es beim Aufruf ohne index.php vorkommt.

Ein weiterer Ansatz wäre, alle Dateien, auf die nicht zugegriffen werden soll, in ein Verzeichnis zu packen und dieses mit "Deny from all" zu schützen. Aber eigentlich sollten solche Dateien erst gar nicht im DocumentRoot der Domain liegen. ;)

[dante77]

Probiers mal damit? (nur ein pipe mehr)

Code: Select all

<FilesMatch "^((main|index).php|.+.jpg|)$"> 

[snowball]

Die FilesMatch Direktive von oben enthält keinen RegEx für "^$", also einen leeren String, wie es beim Aufruf ohne index.php vorkommt.

Danke für den Tipp, scheint aber auch nicht zu funktionieren.

Code: Select all

Order Deny,Allow
Deny from All

<FilesMatch "^((main|index).php|.+.jpg|.+.png|.+.css|.+.pdf|^$)$">
    Allow from All
</FilesMatch>

Probiers mal damit? (nur ein pipe mehr)

Code: Select all

<FilesMatch "^((main|index).php|.+.jpg|)$"> 

Führt zu "Internal Server Error" Fehler 500


Regular Expressions ist einfach nicht meine Welt :(

[Roger Wilco]

Code: Select all

<FilesMatch "^((main|index).php|.+.(jpg|png|css|pdf))?$">
  Allow from all
</FilesMatch>

Ungetestet, sollte aber funktionieren. Die Variante mit den Dateien außerhalb des DocumentRoots oder in einem eigenen Verzeichnis ist aber vorzuziehen, zumal du dann auch eine organisatorische Trennung auf Dateisystemebene hast.

[snowball]

Ungetestet, sollte aber funktionieren.

Nein, bei meinem Apache 1.3.37 leider nicht. Gleiches Problem wie vorher, auch wenn der Code besser aussieht

Die Variante mit den Dateien außerhalb des DocumentRoots oder in einem eigenen Verzeichnis ist aber vorzuziehen, zumal du dann auch eine organisatorische Trennung auf Dateisystemebene hast.

Da hast du natürlich recht. Aber den Aufwand möchte ich dafür nicht betreiben. Ich bin grade dabei, eine Webseite zu erstellen (Nur 'ne kleine für den Sportverein). Da ich aber noch keine Ahnung habe, ob ich die danach auch hosten werde, oder das jemand anderes übernimmt, versuche ich das ganze so einfach wie möglich zu hallten. Wenn ich bei der Übergabe der Seite auch noch eine Installationsanleitung für einen Webserver mitgeben muss, würde das den Rahmen sprengen.

[dante77]

Sowohl Roger Wilcos als auch mein regulärer Ausdruck sind valide und matchen sowohl die Dateien als auch den leeren String. Aber offenbar führt es beim Apache zu einem Fehler, wenn ein leerer String gematcht wird (IMHO)

[Roger Wilco]

Da hast du natürlich recht. Aber den Aufwand möchte ich dafür nicht betreiben.

Die Templates liegen vermutlich schon in einem eigenen Verzeichnis, in das du einfach eine entsprechende .htaccess Datei packen kannst. Dazu sind keine Installationsanweisungen nötig.

[snowball]

Die Templates liegen vermutlich schon in einem eigenen Verzeichnis, in das du einfach eine entsprechende .htaccess Datei packen kannst. Dazu sind keine Installationsanweisungen nötig.

Mhh, hast recht. so hätte es mir zwar besser gefallen, aber das ist natürlich auch ne gute Lösung. Mache ich es halt so.

Vielen Dank für den Denkanstoss.