Startseite Campus Koblenz Rechenzentrum (GHRKO) FAQ Homepage Wie schütze ich meine Webseiten?

Wie schütze ich meine Webseiten?

Angenommen man hat innerhalb seines public_html-Verzeichnisses einen Ordner, zu dem man nur Angehörigen der Universität Zutritt gewähren will. Dann legt man innerhalb dieses Ordners eine Datei mit Namen .htaccess (siehe unten) an. Je nach dem gewünschten Zugriff auf die zu schützenden Seiten muss diese Datei unterschiedliche Inhalte haben.

AuthType Basic
AuthName "Test"
require valid-user

AuthName ist eine beliebige Zeichenkette, die bei der Aufforderung zur Kennungseingabe dargestellt wird.
require valid-user erlaubt jedem Besitzer einer Rechnerkennung der Uni den Zugriff. Natürlich kann man das auch weiter einschränken, z.B.:

require user litauer krienke

Will man innerhalb dieses Ordners nicht alle Dateien, sondern z. B. nur die Datei x.html im zugriff beschränken, geht auch:

<Files x.html>
     require valid-user
</Files>

Genauere Erklärungen finden sich unter http://httpd.apache.org/docs/howto/auth.html#basicconfig

Schutz für Fortgeschrittene

Manchmal möchte man eine Kombination der Authentifizierung:

  1. Schaue in einer lokalen Benutzer-Datenbank nach.
  2. Schaue in der uniweiten Benutzer-Datenbank nach.

Dies funktioniert im Prinzip auch, indem man zunächst eine lokale Benutzerdatenbank anlegt (z.B. .htpasswd) und dann eine .htaccess-Datei folgenden Inhalts anlegt:

AuthUserFile /pfad/zur/Datei/.htpasswd # z.B. /home/user/public_html/.htpasswd
AuthBasicProvider file ldap
require valid-user

Und last not least könnte es auch sein, dass man ausschließlich Authentifizierungen über eine eigene Benutzer-Datenbank machen möchte. Hier ist die folgende Zeile wichtig:

AuthBasicProvider file

htpasswd-Datei verwalten

"Normalerweise" wird die lokale Benutzerdatenbank mit dem Programm htpasswd2 verwaltet, d.h. mit Hilfe dieses Programms kann man Paare von Nutzernamen und verschlüsselten Passworten erzeugen und löschen. htpasswd2 steht allerdings nur Linux-Nutzern zur Verfügung (z.B. auf linux.uni-koblenz.de).

Windows-Nutzer können auf freie Passwort-Generatoren zurückgreifen, z.B. auf http://www.htaccesstools.com/htpasswd-generator/. Die dort erzeugten Nutzername/Passwort-Paare müssen dann mittels Notepad in der Benutzerdatenbank eingetragen oder gelöscht werden.

Erzwingen eines verschlüsselten Zugriffs über https

Möchte man alle Anfragen per http automatisch auf https umleiten, sind die folgenden Angaben an den Anfang der .htaccess-Datei des betreffenden Verzeichnisses zu setzen:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R,L]

Oft möchte man nun eine Kombination aus erzwungenem verschlüsseltem Zugriff und einer Authentifizierung des Nutzers um zu gewährleisten, dass Kennworte ausschließlich verschlüsselt über das Netz geschickt werden. Naheliegend wäre, der obigen Konfiguration noch ein "require valid-user" anzuhängen. Leider funktioniert dies nicht, da das require vor den rewrite-Regeln ausgewertet wird. Man kann dieses Problem aber über einen Trick lösen:

SSLRequireSSL
ErrorDocument 403 https://userpages.uni-koblenz.de/url/angabe
require valid-user

Hier wird per "SSLRequireSSL" ein ausschließlicher Zugriff über SSL erzwungen. Ein Zugriff per http führt zu einem Fehler 403 - und dieser wird umgelenkt auf einen Zugriff per https. Dabei ist /url/angabe eine URL, die beim Umschalten auf https initial angezeigt werden soll.

Anlegen einer Datei .htaccess unter Windows

Unglücklicherweise erlaubt es der Windows-Explorer nicht, neue Dateien zu erzeugen, deren Namen mit einem . beginnen. Dies geht nur über einen Trick:

  1. Zunächst sollte man den Windows-Explorer so einstellen, dass er versteckte Dateien anzeigt (Extras->Ordneroptionen->Ansicht).
  2. Nun kann man eine Datei htaccess.txt erstellen.
  3. Zuletzt mittels einer Kommando-Shell (Start->Ausführen->cmd) die Datei umbenennen:
ren htaccess.txt .htaccess

Schützen des Web-Verzeichnisses vor Zugriffen über das Dateisystem

Lesen Sie bitte

hier

den Abschnitt zum Thema Sicherheit.


zuletzt verändert: 20.01.2012 10:31

Kontakt