Apache Friends Support Forum

[kobe]

Hi

I have / Ich habe confixx_vhost.conf

Code: Select all

<VirtualHost IP:PORT>
...
<Directory "/srv/www/web1/html/quellen/">
AllowOverride Options Indexes AuthConfig
</Directory>
</VirtualHost>


The / die .htaccess

Code: Select all

# cat /srv/www/web1/html/quellen/.htaccess
AuthType Basic
AuthName "Eingeschränkter Bereich"
AuthUserFile /srv/www/web1/.htpasswd
require valid-user
Options +Indexes


But this doesnt work / Aber das geht nicht:

Code: Select all

# restart apache
/etc/init.d/apache2 restart
# all ok
tail -f /var/log/apache2/error_log
# after surfing that site
[Wed Oct 07 12:38:06 2009] [alert] [client MY_IP] /srv/www/web1/html/quellen/.htaccess: Options not allowed here


So 'Options +Indexes' isn't allowed? / Also 'Options +Indexes' ist nicht erlaubt?

But / Aber

Code: Select all

<VirtualHost IP:PORT>
...
</VirtualHost>
<Directory "/srv/www/web1/html/quellen/">
AllowOverride Options Indexes AuthConfig
</Directory>


works fine / geht.

Problem: I must use Confixx and this only edits the VirtualHost-Directive / Ich muss Confixx benutzen und das editiert nur in der VirtualHost-Direktive.

What am I doing wrong / Was mache ich falsch?

Regards / Grüße
Kobe

[Nobbie]

>Was mache ich falsch?

Du zeigst uns die wirklich entscheidenden Stellen nicht. Weder Servername ist erkennbar, noch die URL, wie auf die Ressource zugegriffen wird, noch die Meldung von Apache ist original (MY_IP steht da todsicher nicht).

Noch besser kann man nicht verdecken, was die wirkliche Ursache ist.

[kobe]

Entschuldige, wenn ich zuviel gekürzt habe oder zu wenig Information geliefert habe. Aber ist es nicht üblich, dass bspw die eigene IP und URLs in öffentlichen Foren unkenntlich gemacht werden? Anstatt MY_IP steht da natürlich meine IP, mit der ich gerade im Netz unterwegs bin. Aber das tut sicherlich nichts zum Fehlerfinden zu.

Was genau meinst du mit Servername? Die IP bzw. Domain, unter der die URL aufrufbar ist? Da wirst du aber auch nicht mehr sehen, als Serverfehler! und Error 500. In der apache-log steht doch die genaust mögliche Fehlermeldung.

Was genau brauchst du denn noch an Informationen?

[Nobbie]

Aber ist es nicht üblich, dass bspw die eigene IP und URLs in öffentlichen Foren unkenntlich gemacht werden?

Sagen wir so: das machen viele (warum auch immer), aber verdecken damit oft die wahre Ursache.

Anstatt MY_IP steht da natürlich meine IP, mit der ich gerade im Netz unterwegs bin. Aber das tut sicherlich nichts zum Fehlerfinden zu.

Doch, genau das ist die Ursache. Wahrscheinlich zumindest.

Was genau meinst du mit Servername?

Der ServerName - das ist eine Standardvariable von Apache, damit ordnet man virtuellen Hosts einen Namen zu.

Die IP bzw. Domain, unter der die URL aufrufbar ist?

Genau - die Domain. Der Name der Domain für diesen VirtualHost.

Was genau brauchst du denn noch an Informationen?

Die vollständige(!) nicht verstümmelte Definition aller virtuellen Hosts, sowie wie vollständige URL die Du im Browser eingibst, wo dann dieser Fehler auftritt.

[Pitze]

Options +Indexes

gehört wenn schon in ein Directory Kontainer des Vhost und nicht in die htaccess.
Ist für ein normales Webverzeichniss nicht anzuraten(Sicherheit) da sollte es so aussehen (Options -Indexes) das verhindert das wenn der Server keine Index.html-php oder so findet das das Verzeichniss Aufgelistet wird. Hacker versuchen so an Infos zu kommen wie sie an deinen Server ran kommen können. Anders ist es mit einem Download-Verzeichniss da kanst du dann Options +Indexes setzen, es sollte dann Separat sein, also nicht im Docrootverzeichniss, und keine Sicherheitsrelevanten Datein enthalten.

[Nobbie]

Options +Indexes

gehört wenn schon in ein Directory Kontainer des Vhost und nicht in die htaccess.

Nein, beides ist möglich. Nicht jeder hat grundsätzlich Zugriff auf eine httpd.conf und ist gezwungen, auf die .htaccess auszuweichen. Hier in diesem speziellen Fall könnte der Anwender es zwar in der Tat auch in den vhost schreiben (was dann aber aus den gleichen Gründen scheitern würde, wieso er überhaupt die Frage gestellt hat), muss es aber nicht.

[Pitze]

Ich habe nicht behauptet das es nicht geht. Syntaktisch richtig erstellt fungioniert das schon es gehört nur einfach nicht dort hin. Das ist eine sicherheitliche Einstellung hat nichts in einer Sicherheits htaccess zu suchen,es sollte durch die httpd.conf generell deaktiviert werden und durch den Vhost nur auf sorgsam ausgewählte Verzeichnisse verweisen ausserdem sollten htaccess sparsam eingesetzt werden da der Server dafür jedesmal einen extra Child Process öffnen muss und es wird wohl kein Provider so dumm sein jemanden via htaccess das ändern von Servereinstellungen zu erlauben.
Facit: Möglich auf dem eigenen Server aber nicht empfehlenswert.
Grund : Man listet kein Webverzeichniss auf schon gar keinen Sicherheitsbereich(Sicherheitsrisiko-gross),Pervormanceverlust des Servers durch htaccess.

[Nobbie]

ausserdem sollten htaccess sparsam eingesetzt werden da der Server dafür jedesmal einen extra Child Process öffnen muss

Das wäre mir neu, wieso sollte das so sein (technisch ist es unbegründet) und ich finde auch keine entsprechende Dokumentation. Kann ich auch nicht auf meinen Rechnern nachvollziehen.

und es wird wohl kein Provider so dumm sein jemanden via htaccess das ändern von Servereinstellungen zu erlauben.

Genau das Gegenteil ist richtig: alle großen Provider "sind so dumm" und lassen ihre Kunden in deren DocumentRoot (und darunter) via htaccess die Servereinstellungen überschreiben (anders geht es auch gar nicht). Genau dafür ist sie doch da.

Facit: Möglich auf dem eigenen Server aber nicht empfehlenswert.

Auf dem eigenen Server (aber das hatten wir ja schon geklärt) kann man es besser im Vhost machen, alleine schon der Übersicht halber.

Nur hilft das dem Fragesteller nicht, denn die Fehlerursache würde auch bei Konfiguration im VirtualHost "wirken".

[kobe]

Also erstmal zum +Indexes: Ja, es ist ein Downloadordner, bei dem derjenige mit dem korrekten User+PW sich auch durchhangeln darf / soll. Und ich möchte das einmal im Apache einstellen / freigeben, damit ich / jemand anderes später sich nicht als root anmelden muss, um daran etwas zu ändern.

Aber ist es nicht üblich, dass bspw die eigene IP und URLs in öffentlichen Foren unkenntlich gemacht werden?

Sagen wir so: das machen viele (warum auch immer), aber verdecken damit oft die wahre Ursache.

Weil die Leute schon so oder so viel zu freizügig im Internet mit ihren Daten umgehen. Auch die eigenen Webseiten muss man nicht überall preisgebe.

Anstatt MY_IP steht da natürlich meine IP, mit der ich gerade im Netz unterwegs bin. Aber das tut sicherlich nichts zum Fehlerfinden zu.

Doch, genau das ist die Ursache. Wahrscheinlich zumindest.

Code: Select all

[Wed Oct 07 12:38:06 2009] [alert] [client 91.15.118.75] /srv/www/web1/html/quellen/.htaccess: Options not allowed here

Und nun erkläre mir bitte, was uns das bei der Fehlersuche weiterbringt.

Was genau meinst du mit Servername?

Der ServerName - das ist eine Standardvariable von Apache, damit ordnet man virtuellen Hosts einen Namen zu.

Code: Select all

<VirtualHost 62.67.247.95:80>
  ServerName web1.vz7095.evanzo-server.de
  DocumentRoot /srv/www/web1/html
  SuexecUserGroup web1 web1
  ScriptAlias /cgi-bin/ /srv/www/web1/html/cgi-bin/
  CustomLog /srv/www/web1/log/access_log confixx2
  php_admin_value open_basedir /srv/www/web1/html/:/srv/www/web1/phptmp/:/srv/www/web1/files/:/srv/www/web1/atd/
  php_admin_value file_uploads 1
  php_admin_value upload_tmp_dir /srv/www/web1/phptmp/
<Directory "/srv/www/web1/html/quellen/">
AllowOverride Options Indexes AuthConfig
</Directory>

</VirtualHost>


Die IP bzw. Domain, unter der die URL aufrufbar ist?

Genau - die Domain. Der Name der Domain für diesen VirtualHost.

Von außen erreichbar über polyorg.de respektive auf polyorg.de/quellen soll die .htaccess korrekt laufen.

Die vollständige(!) nicht verstümmelte Definition aller virtuellen Hosts, sowie wie vollständige URL die Du im Browser eingibst, wo dann dieser Fehler auftritt.

Die http.conf bindet confixx_mhost.conf , die die confixx_vhost.conf einbindet. Du willst wahrscheinlich alles? Aber die http.conf inkludiert noch zig andere

Code: Select all

cat httpd.conf | grep "include" -i
# If possible, avoid changes to this file. It does mainly contain Include
# Overview of include files, chronologically:
#  |-- sysconfig.d/include.conf  . . . . . .  [*] your include files
#  |                                             (for each file to be included here, put its name
#  |                                              into APACHE_INCLUDE_* in /etc/sysconfig/apache2)
#       `-- *.conf . . . . . . . . . . . . .     (*.conf is automatically included)
#  |   |-- include.conf
Include /etc/apache2/uid.conf
Include /etc/apache2/server-tuning.conf
Include /etc/apache2/sysconfig.d/loadmodule.conf
Include /etc/apache2/listen.conf
Include /etc/apache2/mod_log_config.conf
Include /etc/apache2/sysconfig.d/global.conf
Include /etc/apache2/mod_status.conf
Include /etc/apache2/mod_info.conf
Include /etc/apache2/mod_usertrack.conf
Include /etc/apache2/mod_autoindex-defaults.conf
Include /etc/apache2/mod_mime-defaults.conf
Include /etc/apache2/errors.conf
Include /etc/apache2/ssl-global.conf
Include /etc/apache2/default-server.conf
# Another way to include your own files
# include arbitrary files as named in APACHE_CONF_INCLUDE_FILES and
# APACHE_CONF_INCLUDE_DIRS
Include /etc/apache2/sysconfig.d/include.conf
Include /etc/apache2/vhosts.d/*.conf
#       putting its name into APACHE_CONF_INCLUDE_FILES in
Include /etc/apache2/confixx_mhost.conf


Willst du die alle auch noch?

Die vollständige confixx_vhost.conf umfasst 408 Zeilen und beinhaltet etliche weitere VHosts, bei denen ich nicht weiß, ob ich die öffentlich posten darf. Ich bin zur Zeit nur ein Aushelfsadmin für eine Bekannten. Den müsste ich dann erstmal fragen, ob er damit einverstanden ist.

[Nobbie]

Von außen erreichbar über polyorg.de respektive auf polyorg.de/quellen soll die .htaccess korrekt laufen.

Na also, ziemlich genau das, was ich mir dachte. für polyorg.de ist diese <Directory>-Angabe nicht gültig, wenn sie im VirtualHost für den ServerName web1.vz7095.evanzo-server.de definiert wurde.

Mit einiger Sicherheit hast Du (was ich Dich eigentlich wortwörtlich gefragt hatte, Du aber immer noch nicht 100%ig beantwortet hast) im Browser http://polyorg.de/quellen eingegeben - in diesem Scope ist die .htaccess-Angabe "Options +Indexes" aber nicht erlaubt.

Richtig wäre die Eingabe von http://web1.vz7095.evanzo-server.de/quellen, so wie es im VirtualHost definiert wurde. Weil die Directory-Angabe nur für diesen VirtualHost gilt. Und wenn man die Directory-Angabe "nach draußen" legt, dann gilt sie für alle virtuellen Hosts resp. für alle Domains (und deswegen funktioniert es dann auch für polyorg.de).

Und das kann ich (wie Du jetzt sicherlich endlich verstehen willst) nur beurteilen, wenn ich weiß, was genau in der VirtualHost-Anweisung steht und wenn ich weiterhin weiß, was Du genau im Browser eingegeben hast.

[kobe]

Na also, ziemlich genau das, was ich mir dachte. für polyorg.de ist diese <Directory>-Angabe nicht gültig, wenn sie im VirtualHost für den ServerName web1.vz7095.evanzo-server.de definiert wurde.

Danke, das war's.

Mit einiger Sicherheit hast Du (was ich Dich eigentlich wortwörtlich gefragt hatte, Du aber immer noch nicht 100%ig beantwortet hast) im Browser http://polyorg.de/quellen eingegeben - in diesem Scope ist die .htaccess-Angabe "Options +Indexes" aber nicht erlaubt.

Das http:// hatte ich weggelassen, dachte 99% reicht auch

Und das kann ich (wie Du jetzt sicherlich endlich verstehen willst) nur beurteilen, wenn ich weiß, was genau in der VirtualHost-Anweisung steht und wenn ich weiterhin weiß, was Du genau im Browser eingegeben hast.

Naja. Ich hätte den VH komplett nennen sollen und welche URL ich nutze. Meine IP z.B. trug nichts dazu bei

Mich regt gerade Confixx auf. Das ändert ständig was, jetzt steht bspw. das drin

Code: Select all

  ServerName web1.vz7095.evanzo-server.de
  ServerAlias polyorg.de


Wenn ich da die Directory-Anweisung reinschreibe, sollte es sowohl für web1.vz7095.evanzo-server.de als auch für polyorg.de gelten? Nur schreibt Confixx das irgendwie wahllos rein ... Naja, ist ein anderes Thema. Danke dir.

edit:
Und jetzt ist das Alias wieder raus, nachdem es knapp 1.5 Tage drin war *HASS*