Ganze Domains per .htaccess und .htpasswd sichern

Januar 4th, 2011 | Tags: , , , , , , ,
Anzeige

Ich habe ja schon 2010 ein mal beschrieben, wie man einzelne Apache-Webverzeichnisse via .htpasswd mit einer Zugangsbeschränkung per Username und Passwort versieht. Doch ab und an ist es nicht ausreichend nur einzelne Verzeichnisse vor unbefugtem Zugriff zu schützen sondern es muss die ganze Domain/ Seite gesichert werden. Beispielsweise wenn ich an einer neuen Seite Entwickle wird sie erst ein mal gesperrt um nur berechtigten Personen Zugriff zu gestatten. Auch ist es Sinnvoll Beispielsweise Entwicklungsumgebungen vor dem öffentlichen Zugriff zu schützen.

Bei “normalen” Webseiten reicht es alle male aus per .htpasswd das Rootverzeichnis zu sichern, doch wenn man beispielsweise mit Multi-CM-Systemen wie beispielsweise drupal arbeitet, ist es nicht möglich einfach nur einen Ordner zu sichern. Welchen auch? Den mit dem Theme, der verwendet wird? Dann wird beim Abbrechen der Anmeldung einfach kein Style angezeigt, der Inhalt bleibt aber dennoch sichtbar.

Da hilft es dann nur die gesamte Domain und damit die ganze Seite und Schutz zu stellen. Dazu muss nur eine kleine Anpassung in der Datei des vhosts (Vitueller Host) vorgenommen werden.
Dies ist ein Beispiel für eine vhost Datei für den Apache2 die bei mir unter /etc/apache2/sites-enabled

<VirtualHost *>
    ServerName domain-der-seite.de
    ServerAdmin webmaster@localhost

    <Directory /var/www/Pfad/zu/den/dateien/>
        Options Indexes FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        allow from all
        RewriteEngine On

        AuthType Basic
        AuthName "Restricted area!"
        AuthUserFile /var/www/pfad/zur/.htpasswd
        Require valid-user
    </Directory>
</VirtualHost>

Der für den Passwortschutz nötigen Zeilen sind 12 bis 15. Ein Vergleich mit den bereits beschriebenen Maßnahmen für einen Ordnerbasierten Passwortschutz zeigt diverse ähnlichkeiten.

Nach dem neustarten bzw. neuladen des Apacheservers mit /etc/init.d/apache reload sollte, wenn es die .htpasswd Datei gibt, der Passwortschutz für die ganze Domain/ Seite stehen. Wie ebenfalls bereits beschrieben sollte bedacht werden, dass der Benutzername und das Passwort in klartext über das Internet übertragen wird.

Weiter lesen


Keine Kommentare
Kommentieren