• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

htaccess bringt Fehler: order not allowed here

S

superbike

Hallo Leute,
möchte mit htaccess einige Website nur vom Intranet zugänglich machen. ergänze dazu meine htacces für das entsprechende Verzeichnis mit:
Code: 
# nur interner IP-Bereichen zulassen
Order deny,allow
Deny from all
Allow from 192.168.1
erhalte aber im Log die Fehlermeldung: pfad/zum/.htaccess: order not allowed here
Warum nur? :oops: müsste doch gemäss http://de.selfhtml.org/servercgi/server/htaccess.htm#ip_bereiche_namen gehen ...
 
Pilz

Pilz

Hej superbike

Ich kenne mich zwar nicht sonderlich mit Servern aus, aber ich denke, daß deine .htaccess Datei keine Fehler enthält. Vielmehr sieht mir die Fehlermeldung danach aus, als ob der Befehl "Order" nicht zugelassen wird. Du solltest mal die entsprechende Config-Datei (httpd.conf ??) durchforsten, ob du da einen Eintrag zu findest.

Grüße
Stefan
 
ChrisP

ChrisP

superbike schrieb:
Hallo Leute,
möchte mit htaccess einige Website nur vom Intranet zugänglich machen. ergänze dazu meine htacces für das entsprechende Verzeichnis mit:
Code: 
# nur interner IP-Bereichen zulassen
Order deny,allow
Deny from all
Allow from 192.168.1
erhalte aber im Log die Fehlermeldung: pfad/zum/.htaccess: order not allowed here
Warum nur? :oops: müsste doch gemäss http://de.selfhtml.org/servercgi/server/htaccess.htm#ip_bereiche_namen gehen ...
Zum Vergrößern anklicken....

Vielleicht fehlt in der httpd.conf ein Eintrag alá:
Code: 
<Directory /Pfad/zum/verzeichnis>
AllowOverride Authconfig
</Directory>
Der Eintrag sagt dem apache erst, dass er die Einstellungen aus der .htaccess "bevorzugen" soll.

lg
Christian
 
A

Anonymous

Gast
ChrisP schrieb:
Vielleicht fehlt in der httpd.conf ein Eintrag alá:
Code: 
<Directory /Pfad/zum/verzeichnis>
AllowOverride Authconfig
</Directory>
Der Eintrag sagt dem apache erst, dass er die Einstellungen aus der .htaccess "bevorzugen" soll.
Zum Vergrößern anklicken....

Das ist nicht ganz richtig. Authconfig besagt, das alle Direktiven zur Autorisierung und Authentifizierung überschrieben werden dürfen. Das wäre aber ein zu grosser "Rundumschlag".

Die Option "Limit" würde genügen. Sie erlaubt das Überschreiben der Direktiven Order, Allow und Deny zur Host-basierten Zugriffskontrolle.

Warum sollte er das Tor weiter öffnen als Nötig? Auch im Intranet spielt Sicherheit eine Rolle.

Man sollte dabei immer im Auge behalten das die Administration eines Webservers nicht trivial ist, und einiges an Wissen erfordert, und superbike in dieser Beziehung noch etwas nachlegen sollte.
 
ChrisP

ChrisP

xserver schrieb:
ChrisP schrieb:
Vielleicht fehlt in der httpd.conf ein Eintrag alá:
Code: 
<Directory /Pfad/zum/verzeichnis>
AllowOverride Authconfig
</Directory>
Der Eintrag sagt dem apache erst, dass er die Einstellungen aus der .htaccess "bevorzugen" soll.
Zum Vergrößern anklicken....

Das ist nicht ganz richtig. Authconfig besagt, das alle Direktiven zur Autorisierung und Authentifizierung überschrieben werden dürfen. Das wäre aber ein zu grosser "Rundumschlag".

Die Option "Limit" würde genügen. Sie erlaubt das Überschreiben der Direktiven Order, Allow und Deny zur Host-basierten Zugriffskontrolle.

Warum sollte er das Tor weiter öffnen als Nötig? Auch im Intranet spielt Sicherheit eine Rolle.

Man sollte dabei immer im Auge behalten das die Administration eines Webservers nicht trivial ist, und einiges an Wissen erfordert, und superbike in dieser Beziehung noch etwas nachlegen sollte.
Zum Vergrößern anklicken....

Ja, da hast du wohl recht. Schön restrictiv vorgehen ist schon wichtig. Ich zähle mich ja auch eher noch zu den Anfängern...
Eine Frage habe ich aber noch: In Diesem Fall gilt doch das AuthConfig "nur" für das in dem directory- Tag angegebene Verzeichnis, oder? Nun kann doch ein potentieller Angreifer sowieso nicht an die .htaccess ran, da sie dem User vom apache gar nicht angezeigt wird... Oder sehe ich da was falsch?
Kannst du bitte mal eine elegantere Lösung für dieses Problem zeigen?

lg
Christian
 
A

Anonymous

Gast
Es geht auch gar nicht darum ob Jemand an die .htaccess rankommt, sondern darum, das zunächst mal in der httpd.conf die Einstellung für "AllowOverride" so restriktiv wie möglich gehalten wird.

Sonst könnte ja der Verwalter des Intranets, der ja nicht unbedingt der Serveradmin sein muss, mit seinen Einträgen in der .htaccess alle Direktiven des Webservers überschreiben.

Mit "Limit" kann er dies nur für "Order", "Allow" und "Deny".

Wenn es darauf nicht ankommt, und du sämtliche Einstellungen den Verwaltern des Webspace überlassen willst, dann kannst du gerne "Authconfig" eintragen.
 
OP
S

superbike

Hallo Leute,
vielen Dank für die Infos; habe einiges bezüglich Konsequenzen und Grenzen dieser Einträge gelernt, kann aber schon den ersten Tipp nicht anwenden ...
ChrisP schrieb:
Code: 
<Directory /Pfad/zum/verzeichnis>
AllowOverride Authconfig
</Directory>
Zum Vergrößern anklicken....
... weil erneut Fehlermeldung im Log: Directory not allowed here. Ich habe anscheindend das Problem, dass ich irgendwo ausserhalb der htaccess Datei noch Angaben wie Directory oder Order explizit zulassen muss. Und nach langem suchen hab ichs dann gefunden in der httpd.config:
Code: 
#
<Directory "/default/Pfad/zu/htdocs">

<Directory "/mein/richtiger/pfad/zu/htdocs">  # <<<<<<<<<<<<<<<<<<<<< ANPASSEN !!!

# AllowOverride controls what directives may be placed in .htaccess files.
# It can be "All", "None", or any combination of the keywords:
#   Options FileInfo AuthConfig Limit
#
    #AllowOverride AuthConfig
    AllowOverride All
#
# Controls who can get stuff from this server.
#
    Order allow,deny
    Allow from all
</Directory>
Danke Euch allen für die Tipps. :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben