Ganzer Webserver per htaccess absichern ?

[king_dingeling]

Hallo

Da ich meine Website wieder "professionell" hoste, will ich den Zugriff auf die DS komplett mittels htaccess absichern. Ist dies möglich ? Photostation und Webserver sind ja zwei verschiedene Webserver oder ? Ich würde drum gerne die Diskstation weiter laufen lassen, möchte aber nicht dass die Platten bei jedem Zugriff hochfahren. Weiss da einer evtl. Rat ?

Gruss Andi

 

[jahlives]

Hei Andi

die Photostation und der "normale" Webserver laufen auf demselben Webserver. Nämlich demjenigen, der unter nobody läuft. Du kannst grundsätzlich in jedes Verzeichnis das du schützen willst eine .htaccess legen.
Du kannst ja eine .htaccess in /volume1/web ablegen und dann darauf aus anderen zu schützenden Verzeichnissen verlinken z.B.

ln -s /volume1/web/.htaccess /usr/syno/synoman/phpsrc/photo/
ln -s /volume1/web/.htaccess /usr/syno/synoman/phpsrc/blog/

hat den Vorteil, dass du nur eine .htaccess Datei bearbeiten musst

Gruss

tobi

 

[Matthieu]

Das Absichern sollte schon funktionieren, aber ich denke die Disk wird deshalb trotzdem geweckt ...
Setze die htaccess zusätzlich in die Ordner von PhotoStation etc. (genauen Orte sind hier irgendwo im Forum zu finden).

MfG Matthieu

 

[king_dingeling]

Hei Andi

die Photostation und der "normale" Webserver laufen auf demselben Webserver. Nämlich demjenigen, der unter nobody läuft. Du kannst grundsätzlich in jedes Verzeichnis das du schützen willst eine .htaccess legen.
Du kannst ja eine .htaccess in /volume1/web ablegen und dann darauf aus anderen zu schützenden Verzeichnissen verlinken z.B.

ln -s /volume1/web/.htaccess /usr/syno/synoman/phpsrc/photo/
ln -s /volume1/web/.htaccess /usr/syno/synoman/phpsrc/blog/

hat den Vorteil, dass du nur eine .htaccess Datei bearbeiten musst

Gruss

tobi

Klingt schon mal gut. Wären diese Links dauerhaft oder müsste man die in ein Startskript einbauen ?

Das Absichern sollte schon funktionieren, aber ich denke die Disk wird deshalb trotzdem geweckt ...

Das wäre allerdings sch....

 

[jahlives]

Die Links sind fix im Dateisystem. Einmal angelegt und vergessen...
Wie Matthieu schon sagte werden die Platten sicherlich geweckt. Denn der Apache liest die .htaccess bei JEDEM Zugriff auf ein geschütztes Verzeichnis. Damit dürfte auch die Platte geweckt werden.
Die Chancen, dass die Platte nicht geweckt wird, wären bei einer IPTables Regel sicher höher, als bei einer .htaccess

 

[king_dingeling]

Die Links sind fix im Dateisystem. Einmal angelegt und vergessen...
Wie Matthieu schon sagte werden die Platten sicherlich geweckt. Denn der Apache liest die .htaccess bei JEDEM Zugriff auf ein geschütztes Verzeichnis. Damit dürfte auch die Platte geweckt werden.
Die Chancen, dass die Platte nicht geweckt wird, wären bei einer IPTables Regel sicher höher, als bei einer .htaccess

Und wenn ich die .htaccess jetzt auf einem USB-Stick ablegen und im Dateisystem darauf verlinken würde ?

 

[itari]

Und wenn ich die .htaccess jetzt auf einem USB-Stick ablegen und im Dateisystem darauf verlinken würde ?

Dann würde die DS den Link-Eintrag auf der Platte lesen müssen, um zu wissen, dass die .htaccess-Datei auf einem Stick ist.

Verabschiede dich davon, dass auf der DS irgendetwas geht ohne einen Plattenzugriff. Die einzige Möglichkeit (anderenorts schon heftig diskutiert) ist, alle zum Apache gehörenenden und verwendeten Dateien auf einen Stick zu schieben ... am besten die ganze Firmware auf eine SSD ... dann hast zwar Zugriffe, aber eben nicht mehr auf die Platte.

Itari

 

[jahlives]

Oder du schiebst alles in den RAM z.B. nach /tmp
Allerdings muss dann der gesamte Apache Prozess und alle zugehörigen Dateien ebenfalls in /tmp liegen sonst werden die Platten wieder geweckt.
Wenn du z.B. die Restiktionen auf IPTables machst, dann sind imho die Chancen viel grösser, dass die Platten nicht geweckt werden müssen.

 

[king_dingeling]

Naja, dann bleibt die DS halt ausgeschaltet tagsüber und läuft nur, wenn ich sie auch benötige. Ich wollte sie nur weiterbetreiben um auf die Photostation zugreifen zu können oder um mal an meine Daten zu kommen.

 

[jahlives]

Ich verstehe dein Problem nicht ganz. Was wolltest du denn in die htaccess Datei schreiben, was nicht auch als IPTables-Regel ginge?

 

[king_dingeling]

Ich verstehe dein Problem nicht ganz. Was wolltest du denn in die htaccess Datei schreiben, was nicht auch als IPTables-Regel ginge?

Über IP-Tables schränk ich den Zugriff auf einzelne mögliche IP bzw. IP-Blöcke ein oder ? Wenn, dann soll jeder mit dem richtigen User und Passwort zugreifen können.

 

[jahlives]

Ah du wolltest mittels htaccess eine Passwortabfrage machen? Das geht leider via IPTables ned. In IPtables kannst du nur Regeln basierend auf IP Adressen haben

 

[king_dingeling]

Ah du wolltest mittels htaccess eine Passwortabfrage machen? Das geht leider via IPTables ned. In IPtables kannst du nur Regeln basierend auf IP Adressen haben

Das dacht ich mir schon. Eine Möglichkeit wäre noch eine passwortgeschützte Portweiterleitung im Router. Da sowieso ein Neuer fällig wird, werd ich mal nach so einem Feature Ausschau halten, wenns sowas überhaupt gibt.

 

[jahlives]

Leg doch sonst einfach den externen Port weg von Port 80. Die User müssen ihn dann zwar immer eintippen, aber die meisten Script-Kiddies kommen nicht auf den neuen Port

 

[king_dingeling]

Leg doch sonst einfach den externen Port weg von Port 80. Die User müssen ihn dann zwar immer eintippen, aber die meisten Script-Kiddies kommen nicht auf den neuen Port

Wäre auch ne Möglichkeit, jedoch wenn es per Anmeldung ginge, nur zweite Wahl.

 

[Hruendel]

Eine Möglichkeit wäre noch eine passwortgeschützte Portweiterleitung im Router.

Der Ansatz ist schon mal richtig. Jedoch ohne Passwort. Bei der Fritz!Box kannst du zum Beispiel festlegen welcher Port weitergeleitet wird. Du kannst externen Port z.B. 81 oder auch 80 auf Port 80 von DS legen. Da Steuerung über 5001 läuft wird es extern nicht angezeigt. Photostation kannst du im Frondend per User+Passwort verregeln.

Ist eigentlich alles easy.

Photostation und Webserver sind ja zwei verschiedene Webserver oder ?

Ich glaube es ist ein Server. CMS kann man als admin eingeloggt im frontend verwalten.

 

[jahlives]

So wie ich den King verstanden habe möchte er verhindern, dass die Platten geweckt werden, wenn ein Zugriff verweigert wird. Das geht nur mit einer Firewall möglichst weit weg von der DS. Nur eine Gateway Firewall könnte einen Zugriff so blocken, dass die Platten nicht aufwachen. Es gibt sicherlich Firewalls die eine User-Auth vor der Portweiterleitung verlangen. Diese dürften dann aber eher im Profisegment angesiedelt sein und eine entsprechende Stange Geld kosten.
Was evenutell noch eine Lösung sein könnte mit Homeroutern: Viele Router bieten die Möglichkeit eine Portweiterleitung nur dann zu aktivieren, wenn zuvor eine definierte Sequenz von Ports angefragt wird.

 

[king_dingeling]

Mittlerweile bin ich schon bei SSL-VPN angelangt Wahrscheinlich wird es so etwas in der Richtung schlussendlich geben. Der Zugriff muss einfach von überall her und ohne Softwareinstallation möglich sein. Die dürfte mit SSL-VPN möglich sein oder ? Vorteil wäre weiter, dass man zum Beispiel mehrere Port 80 Verbindungen initiieren könnte.

 

[Hruendel]

Verstehe nicht ganz was du möchtest.

 

[jahlives]

Mittlerweile bin ich schon bei SSL-VPN angelangt Wahrscheinlich wird so etwas in der Richtung schlussendlich geben. Der Zugriff muss einfach von überall her und ohne Softwareinstallation möglich sein. Die dürfte mit SSL-VPN möglich sein oder ? Vorteil wäre weiter, dass man zum Beispiel mehrere Port 80 Verbindungen initiieren könnte.

Jeder Client braucht dann eine Clientsoftware, um die VPN Verbindung zu deinem Router aufzubauen. Das kann je nach VPN Software auf dem Router ziemlich tricky werden. Was meist zuverlässig funzt sind Router zu Router VPN Verbindungen.