webseite_absichern

[mato]

Hi Debianer,

fast jeder Internetprovider bietet einen kleinen persoenlichen
Webbereich, in dem der Kunde nach Belieben ein wenig spielen kann.
Gibt es eine Moeglichkeit diesen Bereich oder ein Unterverzeichnis
davon durch ein Passwort zu sichern? Man ist ja kein Admin.
Ich brauche keine High Power Sicherheit, will nur nicht, dass jeder
Hansel den Inhalt sieht. In dem Verzeichnis soll nur eine
IP-Addresse stehen.

Gruss aus dem Schwarzen Wald,
Mato

[TRex]

Meist durch htaccess [1].


[1] http://de.selfhtml.org/servercgi/server/htaccess.htm

[mato]

Hallo TRex,

vielen Dank fuer den Hinweis auf den Link zu .htaccess.
Das ganze fordert von mir allerdings noch viel lernen zu muessen.
Anyway,

Gruss aus dem Schwarzen Wald,
Mato

[uname]

Falls du einen Debian-Client zuhause hast kannst du natürlich auch eben einen Apache2-Webserver nachinstallieren und das ganze mal zuhause über http://localhost versuchen. Das ist zwar mit der Installation im ersten Schritt etwas mehr Arbeit. Aber im zweiten Schritt kannst du natürlich viel einfacher die ganzen Dateien entsprechend ändern. Zudem kannst du mehr über Apache2 lernen, was dir dann auch bei deinem Hoster wieder hilft. Und am Ende wirst du sagen das Zeug kann ich auf einem VServer genauso gut selbst hosten.

[Emess]

oder wenn es schnell gehen muss oder soll. Hier

[wanne]

Im Normalfall reicht es dem Ordner einfach einen langen zufälligen Namen zu geben. Wer den nicht kennt kommt nicht rein.

[Cae]

Im Normalfall reicht es dem Ordner einfach einen langen zufälligen Namen zu geben.

Den man beispielsweise ueber

Code: Alles auswählen

$ base64 /dev/urandom | head -c 32 | tr / -; echo
Sh6XMDY2s5+Mq--I+3sZyOkMNJ4A9z0P

gewinnen koennte. Base64 kann Slashes / enthalten, welche als Pfadtrenner nicht im Dateinamen vorkommen duerfen, deswegen das tr.

Gruss Cae

[wanne]

Wobei das von der länge her absolut ausreichend ist (60Bit für was, das man nur über eine eher langsame Leitung brutforcen kann... DES hat 56 Bit und das dauert auf der CPU jahre.):

Code: Alles auswählen

base64 /dev/urandom | head -c 10 | tr / -; echo

[uname]

Ich nutze auch gerne lange kryptische Verzeichnisse. Wie mit Sesion-IDs: man kann per Klick die geheime Webseite erreichen. Benutzer/Passwort ist auch nicht sicherer, wenn man die Daten weitergibt.

[mato]

Halt, halt Ihr Wahnsinnigen,

das ganze Webgeschaeft ist fuer mich voelliges Neuland. Ich muss
damit wirklich an die Hand (oder besser Tastatur) genommen werden.
Also bitte nicht so schnell.

Beitrag von uname am 26.11.2012 16:34:47

Falls du einen Debian-Client zuhause hast kannst du natürlich auch eben einen Apache2-Webserver nachinstallieren und das ganze mal zuhause über http://localhost versuchen.

Was heisst Debian-Client? Wenn ich den Rest Deines Satzes richtig verstanden habe,
empfiehlst Du, einen Web-Server zu Hause zu installieren und alles auszuprobieren. Oder?

Und am Ende wirst du sagen das Zeug kann ich auf einem VServer genauso gut selbst hosten.

Sorry, ??????????

Beitrag von wanne am 26.11.2012 17:28:43
Im Normalfall reicht es dem Ordner einfach einen langen zufälligen Namen zu geben. Wer den nicht kennt kommt nicht rein.

Ich habe in meinem Toplevel eine Datei "index.html" und da kann ich was reinschreiben oder einen
Link reinstellen. Wie laesst sich das mit einem Ordner mit zufälligem Namen in Einklang bringen?

Ich glaube es ist besser, wenn ich mich aus dem Job zurueckziehe.

Gruss aus dem Schwarzen Wald,
Mato

[uname]

Generell ist es wichtig sich etwas fortzubilden. Hierzu gehört es auch wenn du von jemanden einen Begriff an den Kopf geworfen bekommst zu googlen was damit gemeint sein kann. Wenn es nicht von Interesse ist einfach verwerfen.

Was heisst Debian-Client? Wenn ich den Rest Deines Satzes richtig verstanden habe,
empfiehlst Du, einen Web-Server zu Hause zu installieren und alles auszuprobieren. Oder?

Ich empfehle es dann wenn du Spaß daran hast nicht nur dein Problem zu lösen, sondern zu verstehen wie ein Webserver generell funktioniert. Wenn du zuhause kein Debian nutzt kannst du die Idee verwerfen. Wenn du zuhause jedoch Debian nutzt (immerhin schreibst du in einem Debianforum), kannst du einfach über die Paketverwaltung z.B. apache2 nachinstallieren. Das ist auch nicht viel anders als z.B. ein Programm wie LibreOffice nur dass es nicht bunt ist.

Ich habe in meinem Toplevel eine Datei "index.html" und da kann ich was reinschreiben oder einen
Link reinstellen. Wie laesst sich das mit einem Ordner mit zufälligem Namen in Einklang bringen?

Gar nicht. Denn wenn du den Link auf den geheimen Ordner dort einstellst ist er nicht mehr geheim. Du musst den Ordner anlegen und dann für die Leute direkt auf den Unterordner verweisen. Und dort kannst du dann eine "geheime" index.html einstellen. Beschäftige dich ein wenig mit HTML-Programmierung. Evtl. kauf dir ein gutes Buch.

Nachtrag:
Dieser Nachtrag passt nicht ganz zum Thema. Er ist nur relevant, wenn man selbst seinen Apache2-Webserver verwaltet. Zur Absicherung kann man alle gewünschten Unterordner positiv listen. Mit dem unten stehenden Eintrag kann man wenn sonst alles gesperrt ist nur Ordner erlauben, die mindestens 10 Zeichen vom Namen lang sind. Somit ist der Server sicher und man braucht nicht für jeden neuen Unterordner mit größer gleich 10 Zeichen (Zufallswert) die Apache2-Regeln anpassen.

Code: Alles auswählen

        
<DirectoryMatch "^/var/www/[a-zA-Z0-9]{10}">
Options Indexes FollowSymLinks MultiViews 
AllowOverride None
Order allow,deny
allow from 
</DirectoryMatch>  

[wanne]

Ich habe in meinem Toplevel eine Datei "index.html" und da kann ich was reinschreiben oder einen
Link reinstellen. Wie laesst sich das mit einem Ordner mit zufälligem Namen in Einklang bringen?

Direkt auf dem Server liegt eine index.html die einfach eine weiße (oder nach belieben auch eine rosane) Seite beinhaltet.
Deine Eigentliche Webseite liegt im Unterordner Eabej4AD9t. (Also die Startseite ist Eabej4AD9t/index.html) Für Leute die rein dürfen gibst du einfach den Link auf https://seite.tdl/Eabej4AD9t/ weiter. Wer die URL hat kommt rein wer nicht nicht.

Das ganze kannst du noch ein bischen schöner machen, indem du auf die Anfangsseite ein Formular stellst wo man auf die Unterseite des eingegebenen PWs weitergeleitet wird. Wenn man dann die 404er Fehlermeldungen anpasst sieht's von ausen aus wie ein richtiger Login.

[mato]

Hallo Debianer,

vielen Dank fuer Euere Tips, Hinweise und Anregungen. Ich muss jetzt mal sehen,
wie ich weiter vorgehe. Ich hoffe, ich bekomme noch einmal die Kurve.

An uname:

Generell ist es wichtig sich etwas fortzubilden. Hierzu gehört es auch wenn du von jemanden einen Begriff an den Kopf geworfen bekommst zu googlen was damit gemeint sein kann. Wenn es nicht von Interesse ist einfach verwerfen.

Was glaubst Du eigentlich, was ich gemacht habe.

Wenn du zuhause kein Debian nutzt kannst du die Idee verwerfen

Was macht Dich eigentlich zweifeln, dass ich Debian verwende?
Wie Du schon selbst feststelltest, ist dies hier ein Debian
Forum.

Ich empfehle es dann wenn du Spaß daran hast nicht nur dein Problem zu lösen, sondern zu verstehen wie ein Webserver generell funktioniert

Nein, ich habe keinen Spass an Webservern etc., normalerweise mache ich
andere Sachen. Diese Geschichte hier hat man mir aufs Auge gedrueckt
und da muss ich irgendwie durch.

Egal, hilfreich und nuetzlich waren Eure Tips allemal.
Nochmals vielen Dank.

Gruss aus dem Schwarzen Wald,
Mato