Thema: Verzeichnisse mit htaccess sichern

Um zum Beispiel den Zugang zum Administrator-Verzeichnis zu unterbinden kann man eine Passwort-Abfrage mittels htaccess einrichten. Einzige Bedingung: ein Apache-Webserver, denn nur dieser unterstützt htaccess.

Für einen einfachen (aber wirksamen) Passwort-Schutz benötigen wir zwei Dateien: .htacces und .htpasswd
Wobei der Name der Datei .htpasswd auch anders gewählt werden kann. Wichtig sind nur die Punkte vor dem eigentlichen Dateinamen. Dies "versteckt" die Dateien im Unix/Linux-System.

Wie lege ich die Dateien unter Windows an?
Wenn man versucht mittels Explorer oder Abspeichern eine .htaccess zu erstellen, wird man merken, dass Windows da nicht so mitspielt und verlangt, einen "anständigen" Dateinamen einzugeben.
Wir legen erstmal eine Datei mittels Notepad an und speichern diese unter einem beliebigen Namen ab. Dann öffnen wir eine Eingabeaufforderung (Start-->Ausführen-->cmd, bzw. unter XP auch Start-->Programme-->Zubehör-->Eingabeaufforderung) und gehen in das Verzeichnis, in der die Datei gespeichert wurde. Dort führen wir folgenden Befehl aus:

Code:

ren meinehtaccess.txt .htaccess

meinehtaccess.txt muss natürlich mit dem entsprechenden Namen ausgetauscht werden, unter der die Datei vorher gespeichert wurde. Das gleiche führen wir mit der Datei .htpasswd aus (ren meinehtpasswd.txt .htpasswd).

Einträge in der .htaccess
Folgende vier Zeilen müssen in die Datei .htaccess:

Code:

AuthType Basic
AuthName "Login"
AuthUserFile /var/html/administrator/.htpasswd
require valid-user

Der Parameter AuthUserFile zeigt auf die Passwort-Datei und muss nun noch an den Webspace-Ordner angepaßt werden. Welches Verzeichnis dort stehen muss, findet man z.B. im Backend von Mambo heraus. Unter Site --> Global Configuration --> Server steht der Absolute Path.
Die Passwort-Datei kann aber auch (und das wäre noch sicherer) in einem Ordner stehen, der nicht per Browser erreichbar ist. In dem Beispiel oben steht die Datei aber im administrator-Verzeichnis von Mambo.
Der Parameter AuthName kann nach Belieben verändert werden. Der Inhalt steht für den Titel der Login-Aufforderung.

Einträge in der .htpasswd
In der Passwort-Datei stehen in jeder Zeile die User in der Syntax

Username:Passwort

Das Passwort kann meistens im Klartext dort stehen, aber wir sichern das auch gleich noch mit einer MD5-Verschlüsselung ab. Dazu benötigt man das Programm htpasswd, welches mit dem Apache mitgeliefert wird.

Mit folgendem Befehl kann man sich Passwörter generieren:

Code:

htpasswd -n admin

Man wird zweimal aufgefordert das Passwort für den User admin einzugeben und bekommt als Belohnung eine ähnliche Zeile wie

admin:$apr1$bE2.....$J1TarSyj/QJdO6mBioMWX0

ausgeworfen. Diese kopiert man in die Datei .htpasswd. Weitere User werden einfach Zeile für Zeile in die Datei kopiert.

Kleine Helferlein
Natürlich gibt es auch Webseiten, auf denen man sich die zwei Dateien online erstellen lassen kann: Link

Fertig!
Zum Abschluss kopiert man beide Dateien nur noch in das administrator-Verzeichnis von Mambo bzw. die .htpasswd-Datei in das in der .htaccess-Datei angegebene Verzeichnis und hat damit einen zuverlässigen Schutz des Verzeichnisses.

Schon geschehen...

Super gute Anleitung!!

Das habe ich gesucht!


Mfg Marko Master

@holzfisch Das habe ich extra weggelassen, um nicht so versierte User nicht so zu verwirren. Das wäre dann natürlich eine noch sichere Variante, obwohl man ja auch keinen Zugriff auf die Passwortdatei hat, wenn sie sich im gleichen Verzeichnis befindet.

CU
Stephan

Gibt es in Joomla irgendwo die Möglichkeit, dass ein zusätzlicher, jeweils veränderlicher Sicherheits-Code als Grafik abgebildet wird, der zusätzlich zum Benutzernamen und dem Kennwort zu wiederholen ist? So wie dies z.B. bei PHPNUKE nach Bedarf eingeschaltet werden kann?

hallo required dein archiv ist leider kaputt, vielleicht kanst du die datei nochmal ganz hochladen...

edit: ich habs per google gefunden