Webseite läßt sich mit .htaccess nicht schützen

[912-targa]

Hallo,

eigentlich möchte ich auf meinem System (SuSE 10.1 / Apache 2-2.2) nur die aktuelle Version von phpMyAdmin passwortgeschützt in dem Verzeichnis /srv/www/htdocs/phpMyAdmin installieren. Aber das mit dem Passwortschutz über .htaccess klappt irgendwie nicht.

Mittlerweile bin ich am verzweifeln und sehe wahrscheinlich den Wald vor lauter Bäumen nicht mehr.

Folgende Schritte habe ich unternommen:

1.) Apache über Yast installiert.

2.) In der /etc/apache2/httpd.conf habe ich AllowOverride von None auf All gesetzt. (AuthConfig habe ich auch schon probiert)

<Directory />
    Options None
    AllowOverride All
    Order deny,allow
    Deny from all
</Directory>

3.) Die Datei /srv/www/htdocs/phpMyAdmin/.htaccess habe ich wie folgt angelegt:

AuthType Basic
AuthUserFile /usr/local/apache/.htpasswd
AuthName "phpMyAdmin"
order deny,allow
require user admin

4.) Mit dem Befehl htpasswd2 habe ich die Datei /usr/local/apache/.htpasswd mit dem User admin erzeugt.

5.) In /etc/apache2/sysconfig.d/loadmodule.conf sind folgende Module aufgeführt:

LoadModule authz_host_module              /usr/lib/apache2-prefork/mod_authz_host.so
LoadModule actions_module                 /usr/lib/apache2-prefork/mod_actions.so
LoadModule alias_module                   /usr/lib/apache2-prefork/mod_alias.so
LoadModule auth_basic_module              /usr/lib/apache2-prefork/mod_auth_basic.so
LoadModule authz_groupfile_module         /usr/lib/apache2-prefork/mod_authz_groupfile.so
LoadModule authn_file_module              /usr/lib/apache2-prefork/mod_authn_file.so
LoadModule authz_user_module              /usr/lib/apache2-prefork/mod_authz_user.so
LoadModule autoindex_module               /usr/lib/apache2-prefork/mod_autoindex.so
LoadModule cgi_module                     /usr/lib/apache2-prefork/mod_cgi.so
LoadModule dir_module                     /usr/lib/apache2-prefork/mod_dir.so
LoadModule include_module                 /usr/lib/apache2-prefork/mod_include.so
LoadModule log_config_module              /usr/lib/apache2-prefork/mod_log_config.so
LoadModule mime_module                    /usr/lib/apache2-prefork/mod_mime.so
LoadModule negotiation_module             /usr/lib/apache2-prefork/mod_negotiation.so
LoadModule setenvif_module                /usr/lib/apache2-prefork/mod_setenvif.so
LoadModule status_module                  /usr/lib/apache2-prefork/mod_status.so
LoadModule userdir_module                 /usr/lib/apache2-prefork/mod_userdir.so
LoadModule asis_module                    /usr/lib/apache2-prefork/mod_asis.so
LoadModule imagemap_module                /usr/lib/apache2-prefork/mod_imagemap.so
LoadModule ssl_module                     /usr/lib/apache2-prefork/mod_ssl.so
LoadModule php5_module                    /usr/lib/apache2/mod_php5.so
LoadModule authz_default_module           /usr/lib/apache2-prefork/mod_authz_default.so

6.) Sowohl /etc/init.d/apache2 reload als auch /etc/init.d/apache2 restart mehrfach ausprobiert.

7.) Den Cache im Firefox mehrfach geleert.

Aber noch immer kann man im Browser ohne Passwort auf http://server-ip/phpMyAdmin zugreifen. Das kann doch nicht so schwer sein. Kann mir bitte jemand einen guten Tipp geben? Vielen Dank!

Schöne Grüsse
Jörg

 

[Dr. Glastonbury]

Hmmm,
also meine .htacces-Dateien sehen irgendwie anders aus:

AuthUserFile /da/wo/die/datei/liegt/.htpasswd
AuthGroupFile /dev/null
AuthName "Der Name eben"
AuthType Basic

<limit GET POST>
require valid-user
</limit>

Probiers mal damit... dann kannst du dir eigentlich auch den Directory-Eintrag sparen.

Da es sich aber offensichtlich um phpMyAdmin handelt, würde ich an deiner stelle in die phpmyadmin/config.inc.php gehen und dort unter $cfg['Servers'[$i]['auth_type'] = 'cookie' bzw. eben das einsetzen, was du gerne möchtest.

das MyAdmin bringt dafür nämlich schon sehr schöne eigene Mechanismen mit

 

[stummel]

... dann kannst du dir eigentlich auch den Directory-Eintrag sparen.

Dieser Eintrag ist einer mit der Wichtigsten, wenn nicht sogar der wichtigste Eintrag in der httpd.conf. Ich lese hier im Forum immer das alle so auf Sicherheit bedacht sind, und dann kommt so eine Antwort. Weisst du eigentlich was dieser Eintrag für einen Sinn hat?

Ein Fehler in der .htaccess ist so erstmal nicht zu erkennen, könnte höchstens sein das da noch irgendein Eintrag aus der httpd.conf "stört".

 

[Dr. Glastonbury]

Dieser Eintrag ist einer mit der Wichtigsten, wenn nicht sogar der wichtigste Eintrag in der httpd.conf. Ich lese hier im Forum immer das alle so auf Sicherheit bedacht sind, und dann kommt so eine Antwort....

Schade ich hatte schon auf das *puff*-Geräusch gewartet, wenn du gleich platztst. Hast schon recht - hatte ich nur überflogen!

ich korrigiere: den Directory-Eintrag stehen lassen!... (ich hatte gedacht er wollte damit das phpMyAdmin-Verzeichnis schützen - bloß steht da ja hinter dem / gar nix mehr).

Aber trotzdem stummel - explodier nicht immer so, wer soll denn den ganzen Salat am Ende wieder aufräumen (achja und spar dir deinen Kommentar darauf; ich hab schmarn verzapft, weil ich nicht genau gelesen hab und gut ist)

 

[stummel]

... (ich hatte gedacht er wollte damit das phpMyAdmin-Verzeichnis schützen - bloß steht da ja hinter dem / gar nix mehr).

edit: ich sagte spars dir :evil:

Von Schützen war keine Rede, und Targa hatte sogar völlig korrekt erklärt warum er den Eintrag geändert hat.