kostenloser Webspace werbefrei: lima-city


Apache .htaccess sicher?

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    michaelkoepke

    michaelkoepke hat kostenlosen Webspace.

    Hallo liebe Community,

    ich habe einen Server, auf denen ich mehrere Webseiten laufen habe. Ich biete auch einigen Freunden an, ihre Webseiten auf meinem Server zu hosten. Jetzt ist mir in den Sinn gekommen, das man über die .htaccess einen Großteil der Config ändern kann, da „allowoverride all“ eingestellt ist, ich habe mich in der Dokumentation zum Apache belesen und möchte diese Einstellung gern ändern.
    Wie bzw. Was sollte ich für die User, die meinen Server benutzen, über die .htaccess zulassen und was sollte ich nicht erlauben?

    MFG Micha
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. willstdueswissen

    Kostenloser Webspace von willstdueswissen

    willstdueswissen hat kostenlosen Webspace.

    Hi,
    nur meine Meinung:
    Sperre alles was Manipulation in Hinsicht auf PHP ist.


    AllowOverride Options legt fest, dass in einer .htaccess-Datei Anweisungen zur Steuerung spezieller Verzeichniseigenschaften zulässig sind.

    AllowOverride Limit legt fest, dass in einer .htaccess-Datei Zugriffe von bestimmten Hosts erlaubt oder untersagt werden können.

    AllowOverride Indexes legt fest, dass in einer .htaccess-Datei Anweisungen zur Steuerung von Verzeichnisindizes zulässig sind.

    AllowOverride FileInfo legt fest, dass in einer .htaccess-Datei Anweisungen zur Akzeptanz bestimmter Dokumenttypen zulässig sind - beispielsweie, um Individuelle Fehlermeldungen ausgeben zu können.

    AllowOverride AuthConfig legt fest, dass in einer .htaccess-Datei Autorisierungsanweisungen stehen dürfen - das betrifft beispielsweise Regelungen zum Passwortschutz.

    Source: https://wiki.selfhtml.org/wiki/Webserver/htaccess

    Diesen Bereich ist eigentlich so der Standard die man akzeptieren sollte.

    Ich hoffe ich konnte dir damit helfen :)

    Beitrag zuletzt geändert: 23.10.2015 12:56:56 von willstdueswissen
  4. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    Du solltest eher darauf achten, den Usern echte User-Accounts zuzuweisen und dafür sorgen, dass
    1) ein User nur seine eigenen Dateien lesen/schreiben/sehen kann, nicht aber die von anderen Usern und
    2) PHP mit den Rechten des Users ausführen lassen.
    Ansonsten ist dein .htaccess-Ding das kleinste Problem … denn was nutzt das schon, wenn man zwar fast nichts verstellen kann, aber in PHP gerade mal »file_get_contents« o.ä. nutzen muss, um an Dinge zu kommen, die einem nicht gehören? Auch eine sinnvolle php.ini-Konfiguration ist sehr empfehlenswert.

    Außerdem lässt sich via .htaccess eben nicht alles, und noch viel weniger von den interessanten Dingen verändern. Wenn du dann noch dafür sorgst, dass nicht benötigte Module (vermutlich willst du z.B. kein Proxy haben) auch nicht geladen sind, verringert sich das, was man per htaccess tun könnte, noch einmal.
  5. Autor dieses Themas

    michaelkoepke

    michaelkoepke hat kostenlosen Webspace.

    Hallo,

    ich danke euch für eue Antworten, sie haben mir schon sehr weiter geholfen.

    willstdueswissen schrieb:
    Source: https://wiki.selfhtml.org/wiki/Webserver/htaccess

    Dies habe ich auch schon gefunden, trotzdem Danke, nun weiß ich was ich freischalten kann bzw. solte.

    hackyourlife schrieb:
    Du solltest eher darauf achten, den Usern echte User-Accounts zuzuweisen und dafür sorgen, dass
    1) ein User nur seine eigenen Dateien lesen/schreiben/sehen kann, nicht aber die von anderen Usern und
    2) PHP mit den Rechten des Users ausführen lassen.

    Das funktioniert bei mir schon, jeder User hat seinen eigenen Ornder mit den entsprechenden Rechten.

    hackyourlife schrieb:
    Auch eine sinnvolle php.ini-Konfiguration ist sehr empfehlenswert.

    Dieser Punkt interessiert mich noch sehr, ich habe mich schlau gemacht und mal ein paar empfohlene Einstellungen zusammengesucht.

    allow_url_fopen = off
    allow_url_include = off
    disable_functions = “apache_get_modules, escapeshellarg, escapeshellcmd, exec, ini_restore, passtru, popen, proc_nice, proc_open, shell_exec, symlink, syslog, system, ini_set”
    display_errors = off
    expose_php = off
    error_reporting = E_ERROR|E_WARNING|E_PARSE
    log_errors = on
    error_log = “/var/www/home/name/php.log”
    open_basedir =  „/var/www/home/name/www/“
    register_globals = off
    session.save_path = “/var/www/home/name/sess_tmp/”
    upload_tmp_dir = “/var/www/home/name/tmp/”
    enable_dl = off

    Welche Einstellungen sollte ich noch tätigen, was würdet ihr mir noch empfehlen?

    MFG Micha
  6. t**************t

    Wichtig ist immer die htaccess gilt für das jeweilige Verzeichnis und ALLE unterhalb, sofern da keine drin ist. Mehr Sorgen würd ich mir bei PHP machen - man kann mit relativen Pfaden Dateien anderer lesen, schreiben, löschen usw wenn die Rechte falsch gesetzt sind!
  7. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!