Apache Friends Support Forum

[petermccormack]

Hallo,

ich hab ein kurioses Problem und bekomme es einfach nicht in den Griff.
Auf einem Red Hat Server läuft ein Apache 2.2.15. Der Zugriff auf die Subdomain, um die es geht, klappt von aussen: http://meineDomain.de.
Wenn aber ein get Paramater angehängt wird: http://meineDomain.de?name=hallo, dann bekomm ich Fehler 403 forbidden usw.

Wenn ich per ssh auf derm Server bin, dann klappt auch das: curl meinDomain.de?name=hallo...aber eben nicht von aussen.
Ich hab SELinux deaktviert (zum testen), der Owner von /var/www ist apache..jeder hat volle rechte(natürlich auch nur zum testen)...

Der Zugriff klappt ja auch...nur eben nicht, sobald ich ein ? anhänge...das reicht schon..dann ist der Zugriff gesperrt auf die Datei, die eben noch angezeigt wurde im Browser.
Das klang irgendwie nach mod_secure...das ist bei mir aber nicht aktiv...Eine .htaccess hab ich keine...in der httpd.conf ist alles Allowed All...

Blöderweise wird nichts geloggt...nicht in der error_log...oder in der log, die in dem vhost konfiguriert wurde...nichts..

Stundenlanges Googlen hat auch nichts gebracht...ich bin der erste mit diesem Problem...oder vielleicht hat hier jemand einen Tipp für mich?

Danke euch!!

peter

[Nobbie]

Blöderweise wird nichts geloggt...nicht in der error_log...oder in der log, die in dem vhost konfiguriert wurde...nichts..

Also ohne Error Log und ohne Access Log und ohne weitere Angaben geht das nicht. Mit einiger Sicherheit findet irgendwo ein Rewrite oder Redirect statt und der geht kaputt. Das kann auch in einem Script geschehen, das kann in der Definition des VirtualHost geschehen, das kann in einem übergeordneten Directory mit .htaccess geschehen usw. etc. pp. Aber mit den spärlichen Infos kann ich Dir nicht helfen.

Wenn Du uns die echten Domainnamen nennst, könnte ich vielleicht etwas testen. Wie ist das denn mit einem "ping" aus dem SSH und einmal "ping" von außen auf die Domain? Ergibt das ggf. verschiedene IPs? Das würde das unterschiedliche Verhalten erklären können. Ich weiß ja überhaupt gar nichts von Deinem Server.

P.S.: Was passiert, wenn Du einen Slash an den Domainnamen hängst (http://meineDomain.de/?name=hallo) und was passiert, wenn die URL vollständig ist (http://meineDomain.de/index.php?name=hallo oder http://meineDomain.de/index.html?name=hallo)

[petermccormack]

Hallo Nobbi,

erst mal Danke für die Antwort. Das ist ein Kundenserver. Ich bin Magento Entwickler und kein Linux Spezialist. Trotzdem muss ich das Problem lösen.
Kurz zu deinen Fragen: .htaccess gibt es keine, Ich selbst habe keine rewrites angelegt. Das Verhalten ist identisch, egal ob: http://meineDomain.de? oder mit Slash: http://meinDomain.de/?
Wie gesagt, das Fragezeichen reicht schon..dann ist der Zugriff auf / forbidden. Wenn ich dem kompletten URL angebe: http://meinDomain.de/index.php?...dann ist der Zugriff verboten auf /index.php
Gehe ich weiter runter im Verzeichnis: http://meineDomain.de/unterverzeichnis/index.php..verhält es sich genauso...mit ? wäre dann der Zugriff verboten für /unterverzeichnis/index.php.

Ich hab alle logs durchgeschaut...sie mit -tail -f überwacht...das passiert nichts. Das Verzeichnis /var gehört root...www gehört apache...bis runter zur Datei...volle Rechte überall..777...
Wie gesagt..SELinux ist deaktiviert..mode_secure nicht installiert...daran dachte ich zuerst...vielleicht weisst du noch einen Ansatz zumindest..momentan hab ich keine Ahnung, wo ich anfassen soll..
Die Hauotdomain (es handelt sich um eine subdomain) läuft über https...die subdomain nicht. Das dürfte aber keine Rolle spielen.
Gibt es einen Weg, herauszufinden, wer der Initiator ist?..wer den Header 403 setz? Im Internet find ich nichts dazu..

Grüße

peter

[Nobbie]

Gibt es einen Weg, herauszufinden, wer der Initiator ist?..wer den Header 403 setz? Im Internet find ich nichts dazu.

Nicht ohne AccessLog.

Da es sich offensichtlich um eine kommerzielle Seite handelt, geht das auch über meinen persönlichen Support hinaus, denn ich kann hier nicht kostenlosen Profisupport leisten. Ob das ein Fehler im Magento oder im Webserver ist, das kann man ohne jegliche weitere Angabe nicht bestimmen. Warum es keine Logfiles gibt, erschließt sich mir auch nicht, aber das ist ja dann die Entscheidung des Kunden.

Die Hauotdomain (es handelt sich um eine subdomain) läuft über https...die subdomain nicht. Das dürfte aber keine Rolle spielen.

Das ist eine gewagte Annahme und ich wüßte keinen Grund, das von vorneherein auszuschließen. Es kann so viele verschiedene Gründe haben, das ist die Suche nach der Nadel im Heuhaufen, wobei ich nicht einmal den Heuhaufen sehen kann...

[petermccormack]

Hallo Nobbi,

du musst keinen kostenlosen support leisten. Lösen muss ich mein Problem selbst. Es ging nur um einen Schubs in die richtige Richtung.
Ich hab es übrigens im Griff jetzt. Eigentlich steht in der httpd.conf folgende Direktive:

Code: Select all

<Directory />
Options Indexes FollowSymLinks Includes ExecCGI
   AllowOverride All
   Order allow,deny
    Allow from all
</Directory>

Ich hab jetzt hinzugefügt:

Code: Select all

<Directory /var/www>
    allow from all
</Directory>

Nun geht es. Anscheinend spielt Gross und Kleinschreibung eine Rolle. Ich finde unterschiedliche in Listings oder Fachbüchern.

Vielleicht hilft es jemanden, bei dem ein ähnliches Problem auftaucht.

Trotzdem nochmal Danke für deine Hilfe!! Und ich will keinen kostenlosen Support erschleichen oder so. Ich bin Programmierer bzw. Freelancer. Falls das hier nicht gewünscht ist, dass ich fachliche Fragen stelle, lass ich das. Das war mir nicht bewusst.

Grüße

peter

[Nobbie]

Hnscheinend spielt Gross und Kleinschreibung eine Rolle.

Nein, mit absoluter Sicherheit NICHT. Da wird irgendwo anders noch eine Direktive stehen, die es wiederum verbietet. Die Order Klausel sieht zudem falsch aus, diese Reihenfolge ist sehr ungewöhnlich und müßte in diesem Kontext eigentlich "Order deny,allow" heißen und nicht umgekehrt.

[Altrea]

Hallo petermccormack,

Es ging nur um einen Schubs in die richtige Richtung.

Was schwer ist ohne jegliche relevante Informationen.

Und ich will keinen kostenlosen Support erschleichen oder so. Ich bin Programmierer bzw. Freelancer. Falls das hier nicht gewünscht ist, dass ich fachliche Fragen stelle, lass ich das. Das war mir nicht bewusst.

Es sind mehrere Punkte die hier zusammenkommen.
Zum einen ist das hier ein Supportforum für ein ganz spezielles Produkt: XAMPP. Die User von XAMPP sind in aller Regel im Anfängerbereich anzusiedeln, denn sie sind in vielen Fällen nicht in der Lage einen eigenen Webserver-Stack als lokale Entwicklungsumgebung zu konfigurieren. Wir leisten hier offiziell keinen Support für Produktivumgebungen.
Zum anderen verdienst du dein Geld mit dem was du tust. Der Kunde der dir dieses Geld zahlt hat also ein berechtigtes Interesse daran, dass du weißt was du da tust. Weißt du das nicht, so haben andere Freelancer ein berechtigtes Interesse daran dich für einen angemessenen Obolus bei dem Füllen dieser Wissenslücken zu unterstützen. Es gibt nicht wenige Freelancer die genau auf solche Aufträge angewiesen sind. Dieses Forum hier hat kein Interesse daran diese Wissenslücken für lau zu füllen und damit anderen Freelancern potenzielle Aufträge vorzuenthalten.
Aber, und das ist der allerwichtigste Faktor bei der verweigerten Hilfeleistung hier, ist dass wir dir hier nicht helfen können mit den Informationen die du uns lieferst. Schritt eins beim Debugging eines Problems ist nunmal die Analyse aller verfügbarer Informationen und die lieferst du nicht. Entweder hast du diese selber nicht, oder du magst sie uns nicht zur Verfügung stellen. So oder so, ohne diese Informationen zu haben ist es ein raten ins Blaue oder ein tiefer Blick in die Glaskugel.

Aber Nobbie hat dir bereits einen Schritt in eine mögliche Richtung gegeben. Die Konfiguration der Default-Access Regel ist total verquer, soll heißen eigentlich das komplette Gegenteil von dem wie man es empfohlenerweise Konfigurieren würde. Eure Apache Konfiguration erlaubt Apache erst einmal alle Ressourcen auszuliefern und verlangt dies über zusätzliche Regeln einzuschränken (Das sogenannte Blacklisting). Normalerweise würde man Apache so konfigurieren, dass erstmal jedlicher Zugriff verweigert ist und dann Ausnahmen davon konfigurieren (für die DocumentRoot Verzeichnisse beispielsweise), das ist das sogenannte Whitelisting.
Was beim Blacklisting hinzu kommt ist, dass wenn mehrere konkurrierende Regeln für dieselbe Ressource existieren, gewinnt immer die restriktivste. So reicht nur ein Deny an irgendeiner beliebiger Stelle um in eurer Umgebung den Zugriff zu verweigern.

Mehr mag ich dazu aber auch nicht sagen, das ist das offensichtlichste.

mit freundlichen Grüßen,
Altrea

[petermccormack]

Hallo Altrea,

okay, dann weiss ich Bescheid. War keine böse Absicht.
Das Argument, dass das hier ein Anfänger Forum ist, kann ich nachvollziehen XAMPP usw...

Dass ein Freelancer nie ein kniffliges Problem hätte, auch wenn er damit sein Geld verdient und damit anderen ihre Brötchen stiehlt - naja.
Ich denke, ich bin hier im falschen Forum für meine Belange. Ich danke euch trotzdem für die Unterstützung.

Übrigens die Konfigurtion hab ich so gesetzt, um erst einmal alle denkbaren Restriktionen auszuschalten. Das bleibt natürlich nicht so.

Grüße

peter

[Altrea]

War keine böse Absicht.

War auch nicht böse gemeint.

[quote="petermccormack"]Übrigens die Konfigurtion hab ich so gesetzt, um erst einmal alle denkbaren Restriktionen auszuschalten. Das bleibt natürlich nicht so.
So eine Konfiguration würde ich nicht empfehlen, nicht für einen Test- oder Entwicklungsserver, schon garnicht für einen öffentlich zugänglichen Produktivserver und am allerwenigsten auf einem Server eines Kunden.
Diese Einstellung ist aus Sicherheitssicht zumindest fahrlässig. Es reicht nur ein falsch gesetzter Pfad, eine versehendliche Direktive und schon sind alle Dateien auf dem Server aus dem Internet heraus abrufbar.