Directory Directives in VirtualHost

Alles, was den Apache betrifft, kann hier besprochen werden.

Directory Directives in VirtualHost

Postby kobe » 07. October 2009 11:42

Hi

I have / Ich habe confixx_vhost.conf

Code: Select all
<VirtualHost IP:PORT>
...
<Directory "/srv/www/web1/html/quellen/">
AllowOverride Options Indexes AuthConfig
</Directory>
</VirtualHost>


The / die .htaccess
Code: Select all
# cat /srv/www/web1/html/quellen/.htaccess
AuthType Basic
AuthName "Eingeschränkter Bereich"
AuthUserFile /srv/www/web1/.htpasswd
require valid-user
Options +Indexes


But this doesnt work / Aber das geht nicht:
Code: Select all
# restart apache
/etc/init.d/apache2 restart
# all ok
tail -f /var/log/apache2/error_log
# after surfing that site
[Wed Oct 07 12:38:06 2009] [alert] [client MY_IP] /srv/www/web1/html/quellen/.htaccess: Options not allowed here


So 'Options +Indexes' isn't allowed? / Also 'Options +Indexes' ist nicht erlaubt?

But / Aber
Code: Select all
<VirtualHost IP:PORT>
...
</VirtualHost>
<Directory "/srv/www/web1/html/quellen/">
AllowOverride Options Indexes AuthConfig
</Directory>


works fine / geht.

Problem: I must use Confixx and this only edits the VirtualHost-Directive / Ich muss Confixx benutzen und das editiert nur in der VirtualHost-Direktive.

What am I doing wrong / Was mache ich falsch?

Regards / Grüße
Kobe
kobe
 
Posts: 8
Joined: 07. October 2009 11:33

Re: Directory Directives in VirtualHost

Postby Nobbie » 07. October 2009 12:00

>Was mache ich falsch?

Du zeigst uns die wirklich entscheidenden Stellen nicht. Weder Servername ist erkennbar, noch die URL, wie auf die Ressource zugegriffen wird, noch die Meldung von Apache ist original (MY_IP steht da todsicher nicht).

Noch besser kann man nicht verdecken, was die wirkliche Ursache ist.
Nobbie
 
Posts: 8779
Joined: 09. March 2008 13:04

Re: Directory Directives in VirtualHost

Postby kobe » 07. October 2009 13:00

Entschuldige, wenn ich zuviel gekürzt habe oder zu wenig Information geliefert habe. Aber ist es nicht üblich, dass bspw die eigene IP und URLs in öffentlichen Foren unkenntlich gemacht werden? Anstatt MY_IP steht da natürlich meine IP, mit der ich gerade im Netz unterwegs bin. Aber das tut sicherlich nichts zum Fehlerfinden zu.

Was genau meinst du mit Servername? Die IP bzw. Domain, unter der die URL aufrufbar ist? Da wirst du aber auch nicht mehr sehen, als Serverfehler! und Error 500. In der apache-log steht doch die genaust mögliche Fehlermeldung.

Was genau brauchst du denn noch an Informationen?
kobe
 
Posts: 8
Joined: 07. October 2009 11:33

Re: Directory Directives in VirtualHost

Postby Nobbie » 07. October 2009 14:00

kobe wrote:Aber ist es nicht üblich, dass bspw die eigene IP und URLs in öffentlichen Foren unkenntlich gemacht werden?


Sagen wir so: das machen viele (warum auch immer), aber verdecken damit oft die wahre Ursache.

kobe wrote:Anstatt MY_IP steht da natürlich meine IP, mit der ich gerade im Netz unterwegs bin. Aber das tut sicherlich nichts zum Fehlerfinden zu.


Doch, genau das ist die Ursache. Wahrscheinlich zumindest.

kobe wrote:Was genau meinst du mit Servername?


Der ServerName - das ist eine Standardvariable von Apache, damit ordnet man virtuellen Hosts einen Namen zu.

kobe wrote:Die IP bzw. Domain, unter der die URL aufrufbar ist?


Genau - die Domain. Der Name der Domain für diesen VirtualHost.

kobe wrote:Was genau brauchst du denn noch an Informationen?


Die vollständige(!) nicht verstümmelte Definition aller virtuellen Hosts, sowie wie vollständige URL die Du im Browser eingibst, wo dann dieser Fehler auftritt.
Nobbie
 
Posts: 8779
Joined: 09. March 2008 13:04

Re: Directory Directives in VirtualHost

Postby Pitze » 07. October 2009 15:44

Options +Indexes

gehört wenn schon in ein Directory Kontainer des Vhost und nicht in die htaccess.
Ist für ein normales Webverzeichniss nicht anzuraten(Sicherheit) da sollte es so aussehen (Options -Indexes) das verhindert das wenn der Server keine Index.html-php oder so findet das das Verzeichniss Aufgelistet wird. Hacker versuchen so an Infos zu kommen wie sie an deinen Server ran kommen können. Anders ist es mit einem Download-Verzeichniss da kanst du dann Options +Indexes setzen, es sollte dann Separat sein, also nicht im Docrootverzeichniss, und keine Sicherheitsrelevanten Datein enthalten.
Der grösste Vertrauensbruch ist der Blitzableiter auf der Kirchturmspitze
User avatar
Pitze
 
Posts: 210
Joined: 20. November 2003 21:38
Location: Huskvarna-Schweden
Operating System: Windows Vista

Re: Directory Directives in VirtualHost

Postby Nobbie » 08. October 2009 08:28

Pitze wrote:
Options +Indexes

gehört wenn schon in ein Directory Kontainer des Vhost und nicht in die htaccess.


Nein, beides ist möglich. Nicht jeder hat grundsätzlich Zugriff auf eine httpd.conf und ist gezwungen, auf die .htaccess auszuweichen. Hier in diesem speziellen Fall könnte der Anwender es zwar in der Tat auch in den vhost schreiben (was dann aber aus den gleichen Gründen scheitern würde, wieso er überhaupt die Frage gestellt hat), muss es aber nicht.
Nobbie
 
Posts: 8779
Joined: 09. March 2008 13:04

Re: Directory Directives in VirtualHost

Postby Pitze » 08. October 2009 11:47

Ich habe nicht behauptet das es nicht geht. Syntaktisch richtig erstellt fungioniert das schon es gehört nur einfach nicht dort hin. Das ist eine sicherheitliche Einstellung hat nichts in einer Sicherheits htaccess zu suchen,es sollte durch die httpd.conf generell deaktiviert werden und durch den Vhost nur auf sorgsam ausgewählte Verzeichnisse verweisen ausserdem sollten htaccess sparsam eingesetzt werden da der Server dafür jedesmal einen extra Child Process öffnen muss und es wird wohl kein Provider so dumm sein jemanden via htaccess das ändern von Servereinstellungen zu erlauben.
Facit: Möglich auf dem eigenen Server aber nicht empfehlenswert.
Grund : Man listet kein Webverzeichniss auf schon gar keinen Sicherheitsbereich(Sicherheitsrisiko-gross),Pervormanceverlust des Servers durch htaccess.
Der grösste Vertrauensbruch ist der Blitzableiter auf der Kirchturmspitze
User avatar
Pitze
 
Posts: 210
Joined: 20. November 2003 21:38
Location: Huskvarna-Schweden
Operating System: Windows Vista

Re: Directory Directives in VirtualHost

Postby Nobbie » 08. October 2009 12:05

Pitze wrote:ausserdem sollten htaccess sparsam eingesetzt werden da der Server dafür jedesmal einen extra Child Process öffnen muss


Das wäre mir neu, wieso sollte das so sein (technisch ist es unbegründet) und ich finde auch keine entsprechende Dokumentation. Kann ich auch nicht auf meinen Rechnern nachvollziehen.

Pitze wrote:und es wird wohl kein Provider so dumm sein jemanden via htaccess das ändern von Servereinstellungen zu erlauben.


Genau das Gegenteil ist richtig: alle großen Provider "sind so dumm" und lassen ihre Kunden in deren DocumentRoot (und darunter) via htaccess die Servereinstellungen überschreiben (anders geht es auch gar nicht). Genau dafür ist sie doch da.

Pitze wrote:Facit: Möglich auf dem eigenen Server aber nicht empfehlenswert.


Auf dem eigenen Server (aber das hatten wir ja schon geklärt) kann man es besser im Vhost machen, alleine schon der Übersicht halber.

Nur hilft das dem Fragesteller nicht, denn die Fehlerursache würde auch bei Konfiguration im VirtualHost "wirken".
Nobbie
 
Posts: 8779
Joined: 09. March 2008 13:04

Re: Directory Directives in VirtualHost

Postby kobe » 08. October 2009 14:31

Also erstmal zum +Indexes: Ja, es ist ein Downloadordner, bei dem derjenige mit dem korrekten User+PW sich auch durchhangeln darf / soll. Und ich möchte das einmal im Apache einstellen / freigeben, damit ich / jemand anderes später sich nicht als root anmelden muss, um daran etwas zu ändern.


Nobbie wrote:
kobe wrote:Aber ist es nicht üblich, dass bspw die eigene IP und URLs in öffentlichen Foren unkenntlich gemacht werden?


Sagen wir so: das machen viele (warum auch immer), aber verdecken damit oft die wahre Ursache.

Weil die Leute schon so oder so viel zu freizügig im Internet mit ihren Daten umgehen. Auch die eigenen Webseiten muss man nicht überall preisgebe.

Nobbie wrote:
kobe wrote:Anstatt MY_IP steht da natürlich meine IP, mit der ich gerade im Netz unterwegs bin. Aber das tut sicherlich nichts zum Fehlerfinden zu.


Doch, genau das ist die Ursache. Wahrscheinlich zumindest.

Code: Select all
[Wed Oct 07 12:38:06 2009] [alert] [client 91.15.118.75] /srv/www/web1/html/quellen/.htaccess: Options not allowed here

Und nun erkläre mir bitte, was uns das bei der Fehlersuche weiterbringt.

Nobbie wrote:
kobe wrote:Was genau meinst du mit Servername?


Der ServerName - das ist eine Standardvariable von Apache, damit ordnet man virtuellen Hosts einen Namen zu.

Code: Select all
<VirtualHost 62.67.247.95:80>
  ServerName web1.vz7095.evanzo-server.de
  DocumentRoot /srv/www/web1/html
  SuexecUserGroup web1 web1
  ScriptAlias /cgi-bin/ /srv/www/web1/html/cgi-bin/
  CustomLog /srv/www/web1/log/access_log confixx2
  php_admin_value open_basedir /srv/www/web1/html/:/srv/www/web1/phptmp/:/srv/www/web1/files/:/srv/www/web1/atd/
  php_admin_value file_uploads 1
  php_admin_value upload_tmp_dir /srv/www/web1/phptmp/
<Directory "/srv/www/web1/html/quellen/">
AllowOverride Options Indexes AuthConfig
</Directory>

</VirtualHost>



Nobbie wrote:
kobe wrote:Die IP bzw. Domain, unter der die URL aufrufbar ist?


Genau - die Domain. Der Name der Domain für diesen VirtualHost.

Von außen erreichbar über polyorg.de respektive auf polyorg.de/quellen soll die .htaccess korrekt laufen.

Nobbie wrote:Die vollständige(!) nicht verstümmelte Definition aller virtuellen Hosts, sowie wie vollständige URL die Du im Browser eingibst, wo dann dieser Fehler auftritt.

Die http.conf bindet confixx_mhost.conf , die die confixx_vhost.conf einbindet. Du willst wahrscheinlich alles? Aber die http.conf inkludiert noch zig andere
Code: Select all
cat httpd.conf | grep "include" -i
# If possible, avoid changes to this file. It does mainly contain Include
# Overview of include files, chronologically:
#  |-- sysconfig.d/include.conf  . . . . . .  [*] your include files
#  |                                             (for each file to be included here, put its name
#  |                                              into APACHE_INCLUDE_* in /etc/sysconfig/apache2)
#       `-- *.conf . . . . . . . . . . . . .     (*.conf is automatically included)
#  |   |-- include.conf
Include /etc/apache2/uid.conf
Include /etc/apache2/server-tuning.conf
Include /etc/apache2/sysconfig.d/loadmodule.conf
Include /etc/apache2/listen.conf
Include /etc/apache2/mod_log_config.conf
Include /etc/apache2/sysconfig.d/global.conf
Include /etc/apache2/mod_status.conf
Include /etc/apache2/mod_info.conf
Include /etc/apache2/mod_usertrack.conf
Include /etc/apache2/mod_autoindex-defaults.conf
Include /etc/apache2/mod_mime-defaults.conf
Include /etc/apache2/errors.conf
Include /etc/apache2/ssl-global.conf
Include /etc/apache2/default-server.conf
# Another way to include your own files
# include arbitrary files as named in APACHE_CONF_INCLUDE_FILES and
# APACHE_CONF_INCLUDE_DIRS
Include /etc/apache2/sysconfig.d/include.conf
Include /etc/apache2/vhosts.d/*.conf
#       putting its name into APACHE_CONF_INCLUDE_FILES in
Include /etc/apache2/confixx_mhost.conf

Willst du die alle auch noch?

Die vollständige confixx_vhost.conf umfasst 408 Zeilen und beinhaltet etliche weitere VHosts, bei denen ich nicht weiß, ob ich die öffentlich posten darf. Ich bin zur Zeit nur ein Aushelfsadmin für eine Bekannten. Den müsste ich dann erstmal fragen, ob er damit einverstanden ist.
kobe
 
Posts: 8
Joined: 07. October 2009 11:33

Re: Directory Directives in VirtualHost

Postby Nobbie » 08. October 2009 14:42

kobe wrote:Von außen erreichbar über polyorg.de respektive auf polyorg.de/quellen soll die .htaccess korrekt laufen.


Na also, ziemlich genau das, was ich mir dachte. für polyorg.de ist diese <Directory>-Angabe nicht gültig, wenn sie im VirtualHost für den ServerName web1.vz7095.evanzo-server.de definiert wurde.

Mit einiger Sicherheit hast Du (was ich Dich eigentlich wortwörtlich gefragt hatte, Du aber immer noch nicht 100%ig beantwortet hast) im Browser http://polyorg.de/quellen eingegeben - in diesem Scope ist die .htaccess-Angabe "Options +Indexes" aber nicht erlaubt.

Richtig wäre die Eingabe von http://web1.vz7095.evanzo-server.de/quellen, so wie es im VirtualHost definiert wurde. Weil die Directory-Angabe nur für diesen VirtualHost gilt. Und wenn man die Directory-Angabe "nach draußen" legt, dann gilt sie für alle virtuellen Hosts resp. für alle Domains (und deswegen funktioniert es dann auch für polyorg.de).

Und das kann ich (wie Du jetzt sicherlich endlich verstehen willst) nur beurteilen, wenn ich weiß, was genau in der VirtualHost-Anweisung steht und wenn ich weiterhin weiß, was Du genau im Browser eingegeben hast.
Nobbie
 
Posts: 8779
Joined: 09. March 2008 13:04

Re: Directory Directives in VirtualHost

Postby kobe » 09. October 2009 13:47

Nobbie wrote:Na also, ziemlich genau das, was ich mir dachte. für polyorg.de ist diese <Directory>-Angabe nicht gültig, wenn sie im VirtualHost für den ServerName web1.vz7095.evanzo-server.de definiert wurde.

Danke, das war's.

Nobbie wrote:Mit einiger Sicherheit hast Du (was ich Dich eigentlich wortwörtlich gefragt hatte, Du aber immer noch nicht 100%ig beantwortet hast) im Browser http://polyorg.de/quellen eingegeben - in diesem Scope ist die .htaccess-Angabe "Options +Indexes" aber nicht erlaubt.

Das http:// hatte ich weggelassen, dachte 99% reicht auch :wink:

Nobbie wrote:Und das kann ich (wie Du jetzt sicherlich endlich verstehen willst) nur beurteilen, wenn ich weiß, was genau in der VirtualHost-Anweisung steht und wenn ich weiterhin weiß, was Du genau im Browser eingegeben hast.

Naja. Ich hätte den VH komplett nennen sollen und welche URL ich nutze. Meine IP z.B. trug nichts dazu bei ;-)

Mich regt gerade Confixx auf. Das ändert ständig was, jetzt steht bspw. das drin
Code: Select all
  ServerName web1.vz7095.evanzo-server.de
  ServerAlias polyorg.de

Wenn ich da die Directory-Anweisung reinschreibe, sollte es sowohl für web1.vz7095.evanzo-server.de als auch für polyorg.de gelten? Nur schreibt Confixx das irgendwie wahllos rein ... Naja, ist ein anderes Thema. Danke dir.

edit:
Und jetzt ist das Alias wieder raus, nachdem es knapp 1.5 Tage drin war *HASS*
kobe
 
Posts: 8
Joined: 07. October 2009 11:33


Return to Apache

Who is online

Users browsing this forum: No registered users and 5 guests