.htaccess und wie mach ichs richtig ?

[ViperRt10]

Hallo Freunde

der Einzige Schutz zum sichern von Zugriff per "Fremduser" ist mir die .htaccess bekannt.
mit dem netten Tool xssen.php habe ich mal probiert dies zu lösen, doch denke ich das ich hier einen falschen Ansatz habe... bitte um Hilfe!

dzt. auf meinem NAS(web):
- root
- Verzeichnis 1
- Verzeichnis 2
- Verzeichnis 3
- Verzeichnis 4 - CMS

im root liegt die .htaccess, somit müsste sich jeder Besucher der website zuerst mit Passwort einloggen, was natürlich blödsinn ist
htaccess in alle Verzeichnisse abzulegen ginge vermutlich, aber dann sind die files im root nicht geschützt vor Zugriff

hab da momentan nicht wirklich einen schlüsssigen Ansatz wie ich das vernünftig lösen sprich schützen soll... auch will ich nicht das "Fremdpersonen" files im CMS verändern können (sprich Verzeichnis 4)

Bitte um Hilfe, per PN gibts Domainnamen, DANKE

 

[Matthieu]

Ich versteh deine Verzeichnisstruktur noch nicht so ganz ... liegen die Verzeichnisse unter "root"? Und warum kommst du auf die Idee dass andere Schreibzugriff hätten? Da der Webserver keine Schreibrechte hat, ist das ganze doch hinfällig?!

MfG Matthieu

 

[jahlives]

Er meint mit root sicher den Webroot (/volume1/web), oder?

 

[ViperRt10]

der Webserver hat keine Schreibrechte... hmmm d.h. dass hacker sowiso keine änderungen an files und sonstiges durchführen können ? diese aber sehen, oder ?

was ich mich ständig frage, kann ich das testen, was nun "offen" ist oder nicht ?

 

[ViperRt10]

Er meint mit root sicher den Webroot (/volume1/web), oder?

korrekt!

 

[Matthieu]

Du kannst mit der FileStation für jeden Ordner einzeln die Rechte einsehen und ändern.
Über den Webserver ist kein Angriff ohne weiteres möglich, aber auf dem System läuft ja noch so einiges anderes ...

MfG Matthieu

 

[ViperRt10]

Du kannst mit der FileStation für jeden Ordner einzeln die Rechte einsehen und ändern.
Über den Webserver ist kein Angriff ohne weiteres möglich, aber auf dem System läuft ja noch so einiges anderes ...

MfG Matthieu

d.h. lese/schreibrechte deaktivieren - kein Zugriff von aussen, htaccess überflüssig

welche anderen sprichst du an ?

ist mein CMS somit geschützt?

würde das gern mal testen, habe aber keine Ahnung wie ?

 

[Matthieu]

Wenn beispielsweise ein Lücke im FTP-Server ist, nützt dir auch kein htaccess was ... das meine ich.

MfG Matthieu

 

[itari]

Grundsätzliches: Natürlich kann man auch per Webserver auf Dateien lesend und schreiben auf Dateien und Verzeichnisse zugreifen (wie sonst sollte die File-Station funktionieren), aber dazu muss man dem Webserver per Skript/Programm (z.B. PHP, WebDAV) die Fähigkeiten dazu entlocken ...

Zum CMS: Typischerweise ist ein CMS zweigeteilt:
- ein Teil nur für Leser/Beuscher, welche natürlich auch Kommentieren usw. dürfen. Meist gehen diese Informationen aber nicht in Dateien sondern in die MySQL-Datenbank und werden sehr gut vom CMS geprüft;
- der andere Teil (durch Benutzerrechte, Kennworte reguliert) dient der Verwaltung bzw. Redaktion des CMS. Hier wird der Zugang durch das CMS gesteuert und das wird meist auch automatisch so eingerichtet. Falls dieser Zugang auffliegt, ist es natürlich aus mit der Sicherheit.

Wenn man also dafür sorgt, dass per Web (Port 80) nur das CMS-System dran kommt, dann wären weitere Maßnahmen, wie .htaccess nicht nötig - wobei es auch CMS-Systeme gibt, die das per .htaccess machen. Und auch, ob du weitere Dienste auf deine DS per Router weiterreichst, als nur http (also ftp oder was auch immer).

Aber wir reden hier um den heißen Brei herum ... sag wie dei CMS heißt (Joomla???) und ob du noch andere frei-herumschwebende Webseiten hast, die auf deiner DS via Port 80 (http) zugänglich sind/sein sollen. Dann kann man dir einfach bessere Ratschläge geben.

Itari

 

[ViperRt10]

Wenn beispielsweise ein Lücke im FTP-Server ist, nützt dir auch kein htaccess was ... das meine ich.

MfG Matthieu

lücke im FTP der DS oder dem Client ?
habe nur FTP mit SSL/TSL aktiviert, reicht das ?
der 5000/7000 Port ins web ist zu...

kann jemand mal eine "gutwillige" Attacke starten, mal die Lücken zu testen...?
domainname per pn

 

[ViperRt10]

@Itari

d.h. Grundsätzlich gegen hacker angriff kein Schutz gegeben ?

du meinst wenn joomla im root ist, mehr kann/brauche ich nicht machen ?

 

[itari]

@Itari

d.h. Grundsätzlich gegen hacker angriff kein Schutz gegeben ?

Grundsätzlich ist alles dicht - also keine Möglichkeit zu hacken. Wenn du aber ein CMS oder ein anderes Skript im Einsatz hast, dann kann dieses deine DS 'öffnen'. So zum Beispiel der File-Manager. Diese Skripte haben dann aber (fast) immer eine eigene Benutzerverwaltung (wie die File Station), und sind dann (fast) immer sehr sicher.

du meinst wenn joomla im root ist, mehr kann/brauche ich nicht machen ?

So ungefähr wie du das mit Joomla schilderst, ist das. Wenn du aber jetzt in Joomla einem Benutzer Rechte einräumst, dann kann dieser natürlich dann genau das, was du ihm für Rechte zubilligst. Ist so wie bei dem Forum hier. Ich bin Moderator und darf Beiträge löschen und ändern. Aber ich darf - weil ich nicht Administrator bin - nicht die Forensoftware anhalten oder die Datenbank löschen. Oki? Du kannst ja mal versuchen, das Forum hier zu hacken ... so wäre das dann auch bei deinem CMS ... aber wahrscheinlich wirst dir die Zähne dran ausbeißen Trotzdem mag es irgendwann jemanden geben, der es dennoch schafft. Dieses Restrisiko hast immer. Deswegen musste du dein(e) CMS/CMS-Datenbanken regelmäßig sichern und auch regelmäßig deine Website kontrollieren, ob etwas Verdächtiges passiert ist. Das macht mehr oder weniger jeder so. ... und du musst dir natürlich auch vorstellen, ob deine Webseite wirklich jemals für jemanden soooo interessant ist, dass er/sie sich die Mühe macht.

Itari

 

[itari]

Nachtrag:

Es ist schon sinnvoll, sich Gedanken auch über .htaccess-Dateien zu machen. Weil du musst ja Sorge dafür tragen, dass auch nur die 'richtigen' in deiner URL vorkommenden Pfadnamen druchgelassen werden. Aber die meisten CMS-Pakete haben da Vorkehrungen getroffen: entweder bringen sie schon die richtigen .htaccess-Dateien mit oder sie haben am Anfang der Skripte stehen, dass sie nur indirekt aufgerufen werden dürfen.

Itari

 

[ViperRt10]

Resümee: .htaccess nicht notwendig...

ich habe joomla dzt. in einem Verzeichnis installiert, sollte ich dies dann in die root verlegen ? wäre das besser, oder macht das keinen unterschied ?

dzt. Ablauf bei Zugriff auf meine Website:

domainname -> hostname(dyndns) -> DS-web -> VirtualServer -> Verzeichnis

gibts Grund zur Kritik?

 

[jahlives]

Es macht keinen Unterschied ob die Dateien im DocumentRoot liegen oder in einem Unterverzeichnis davon. Ist beides das Gleiche und gleich risikobehaftet.
Solange der Webserver User (meist nobody) auf die Dateien zugreifen darf besteht immer ein gewisses Risiko. Gerade bei CMS oder Blogs wird der Server User auf gewisse Files sogar Schreibrechte benötigen.

 

[ViperRt10]

Nachtrag:

Es ist schon sinnvoll, sich Gedanken auch über .htaccess-Dateien zu machen. Weil du musst ja Sorge dafür tragen, dass auch nur die 'richtigen' in deiner URL vorkommenden Pfadnamen druchgelassen werden. Aber die meisten CMS-Pakete haben da Vorkehrungen getroffen: entweder bringen sie schon die richtigen .htaccess-Dateien mit oder sie haben am Anfang der Skripte stehen, dass sie nur indirekt aufgerufen werden dürfen.

Itari

joomla hat htaccess.txt dabei, aber die ist somit inaktiv oder ?

es werden keine user oder andere administrator Zugang bekommen, nur ich...

 

[itari]

joomla hat htaccess.txt dabei, aber die ist somit inaktiv oder ?

es werden keine user oder andere administrator Zugang bekommen, nur ich...

das mit der htaccess.txt ist ein Trick, weil Windows so blöd ist und keine .htaccess-Dateien editieren lässt (oder nur mit Editoren, die ein wenig cleverer als der Notepad sind

Schau am besten in die Installationsanleitung von Joomla hinein, was du zu diesem Thema selbst machen musst und was die Installationsroutine schon für dich übernimmt. Ich hab vor 5 Jahren mein Joomla/Mambo abgeschafft und bin auf OpenEngine umgestiegen bevor ich mir ein eigenes CMS geschrieben habe. Ich kann mich aber daran erinnern, wie die Module gestrickt waren und dass es auch irgendwas recht einfaches mit der .htaccess gab ...

Itari

 

[jahlives]

joomla hat htaccess.txt dabei, aber die ist somit inaktiv oder ?

es werden keine user oder andere administrator Zugang bekommen, nur ich...

Ja die Datei muss .htaccess heissen damit sie der Server erkennt und anwendet.
Ist das zweite eine Frage oder eine Feststellung?

 

[jahlives]

Ich kann mich aber daran erinnern, wie die Module gestrickt waren und dass es auch irgendwas recht einfaches mit der .htaccess gab ...

Itari

Wahrscheinlich ein "einfacher" Deny from ALL in der .htaccess. Das CMS greift auf seine Module via Dateisystemfunktionen (include&co) und ist daher von der .htaccess unabhängig.

 

[ViperRt10]

Wahrscheinlich ein "einfacher" Deny from ALL in der .htaccess. Das CMS greift auf seine Module via Dateisystemfunktionen (include&co) und ist daher von der .htaccess unabhängig.

ist das nicht die lösung für mich ?

einfach

Deny from all

in die htaccess schreiben ? in der von joomla habe ichs unter vielem bla bla und steuerzeichen gefunden...

bin mir aber nicht sicher die joomla txt auf .htaccess umzubenennen, denn in der datei wird auf .txt verwiesen...