Current time: 11-24-2024, 02:48 AM Hello There, Guest! (LoginRegister)


Post Reply 
verzeichniss auflisten!
Author Message
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #1
verzeichniss auflisten!
ein verzeichniss wurde unter /htdocs erstellt. dieses hat diese .htaccess bekommen:

Code:
Options +Indexes

### START ISPCP PROTECTION ###

        AuthType Basic
        AuthName "menkiSys Arhiva"
        AuthUserFile /var/www/virtual/menkisys.de/.htpasswd
        Require user download
    
### END ISPCP PROTECTION ###

ein user "download" wurde erstellt! dieser user hat auch ein passwort bekommen der auch in der .htpasswd verschlüsselt ersichtlich ist.

beim aufrufen des verzeichnisses /arhiva möchte ich das der inhalt angezeigt wird. dieses wird aber nie angezeigt. sogar seit der version RC4. was mache ich falsch? allow override funktion?

danke

MENKI
(This post was last modified: 09-12-2008 07:00 PM by menki.)
09-12-2008 06:56 PM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #2
RE: verzeichniss auflisten!
Weil diese Option sicherlich in der Apacheconfig augestellt ist.
Schau erstmal da nach. Weil so kannst Du es dann nicht überschreiben.

Greez BeNe
09-12-2008 07:01 PM
Visit this user's website Find all posts by this user Quote this message in a reply
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #3
RE: verzeichniss auflisten!
meine hauptseite rennt ja auch als ein virtual user. deswegen würde ich dieses listen aktivieren aber nur in diesem verzeichniss und nur bei diesem virtualuser. geht das ?

und bene welche config soll ich da bearbeiten wenn ich dieses so umsetzen will (vorausgesetzt es ist möglich).

MENKI
09-12-2008 07:04 PM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #4
RE: verzeichniss auflisten!
Wenn Du deine
Code:
/etc/apache2/sites-enabled/ispcp.conf
Auf machst hast Du zu jeder Domain die Standardeinträge.
Hier wird "Indexes" verboten! Hat ein "-" minus davor.
Das muss weg und schon geht es Wink


Code:
<IfModule mod_fastcgi.c>
        ScriptAlias /php4/ /var/www/fcgi/deinedomain.tld/
        ScriptAlias /php5/ /var/www/fcgi/deinedomain.tld/
        <Directory "/var/www/fcgi/deinedomain.tld">
            AllowOverride None
            Options +ExecCGI -MultiViews -Indexes
            Order allow,deny
            Allow from all
        </Directory>
    </IfModule>
    # httpd sub entry PHP2 support END.

    <Directory /var/www/virtual/tdeinedomain.tld/os/htdocs>
        # httpd sub entry PHP support BEGIN.
        # httpd sub entry PHP support END.
        Options -Indexes Includes FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>

Greez BeNe
09-12-2008 07:12 PM
Visit this user's website Find all posts by this user Quote this message in a reply
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #5
RE: verzeichniss auflisten!
danke für die hilfe. trotzdem würde sich das +Indexes auf das gesamte /htdocs auswirken?
ich werde mal probieren wie es sich bewährt. umsonst ist es ja auch nicht deaktiviert. :-)


ps: PAM(ftp@menkisys.de): User not known to the underlying authentication module.


diese fehlermeldung wird seit RC4 immer wieder angezeigt. nachdem diese zeilen in die proftpd.conf eingefügt wurden kommt der fehler nicht mehr:
Code:
AuthOrder mod_sql.c

ist das ein fehler, beabsichtigt, bug?

MENKI
(This post was last modified: 09-12-2008 07:24 PM by menki.)
09-12-2008 07:18 PM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #6
RE: verzeichniss auflisten!
Quote:danke für die hilfe. trotzdem würde sich das +Indexes auf das gesamte /htdocs auswirken?
ich werde mal probieren wie es sich bewährt. umsonst ist es ja auch nicht deaktiviert. :-)
Wenn Du es wie oben machst und eine Subdomain einrichtest dann nur auf die Subdomain. Kannst ja download.domain.tld nennen.

Ja ist halt aus Sicherheitsgründen deaktiviert. Per default auch besser für den ein oder anderen.
Quote:diese fehlermeldung wird seit rC4 iummer wieder angezeigt.
Wo ? In der Log ?
Quote:nachdem diese zeilen in die proftpd.conf eingefügt wurden kommt der fehler nicht mehr:
Weil er erstmal die verschiedenen auth-module versucht, wenn nicht springt er modul für modul weiter bis er einen zugang geben kann.

Greez BeNe
09-12-2008 07:24 PM
Visit this user's website Find all posts by this user Quote this message in a reply
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #7
RE: verzeichniss auflisten!
das mit der SUBdomain habe ich komplett vergessen. Smile

ja es sind log fehler die MIR seit der version RC4 sichtbar sind.

danke

MENKI
(This post was last modified: 09-12-2008 07:33 PM by menki.)
09-12-2008 07:27 PM
Find all posts by this user Quote this message in a reply
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #8
RE: verzeichniss auflisten!
habe das so umgesetzt wie du sagtest bene, aber trotzdem bekomme ich 403 error meldung. das ist der inhalt der .htaccess:

Code:
Options +Indexes

die datei /etc/apache2/sites-enabled/ispcp.conf und die /etc/ispcp/apache/working/ispcp.conf habe ich angepasst. habe das minus vor dem Indexes entfernt und es funktioniert trotzdem nicht.

subdomain download.meinedomain.de wurde angelegt. der pfad geht ins verzeichniss wo halt die .htacces liegt und die files die veröffentlicht werden sollen.

irgendetwas stimmt da nicht.

MENKI
(This post was last modified: 09-13-2008 01:50 PM by menki.)
09-13-2008 01:49 PM
Find all posts by this user Quote this message in a reply
Kotty Offline
Junior Member
*

Posts: 167
Joined: Mar 2008
Reputation: 3
Post: #9
RE: verzeichniss auflisten!
menki Wrote:habe das so umgesetzt wie du sagtest bene, aber trotzdem bekomme ich 403 error meldung. das ist der inhalt der .htaccess:

Code:
Options +Indexes

die datei /etc/apache2/sites-enabled/ispcp.conf und die /etc/ispcp/apache/working/ispcp.conf habe ich angepasst. habe das minus vor dem Indexes entfernt und es funktioniert trotzdem nicht.

subdomain download.meinedomain.de wurde angelegt. der pfad geht ins verzeichniss wo halt die .htacces liegt und die files die veröffentlicht werden sollen.

irgendetwas stimmt da nicht.

MENKI

403 is ein Forbidden was steht denn in den logs beim zugriff? Welchem user gehört die .htaccess?
wie Sieht denn der Subdomaineintrag im Indianer aus?

interresant ist folgender teil:

# httpd sub entry PHP2 support END.

<Directory /var/www/virtual/xxxxxxxx>
# httpd sub entry PHP support BEGIN.
# httpd sub entry PHP support END.
Options xxxx
AllowOverride xxxx
Order allow,deny
Allow from all
</Directory>
09-13-2008 06:25 PM
Find all posts by this user Quote this message in a reply
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #10
RE: verzeichniss auflisten!
ist stelle fest MODSECURITY bremmst mich aus!

Code:
[Sat Sep 13 21:35:35 2008] [error] [client 90.146.240.*] ModSecurity: Access denied [b]with code 403[/b] (phase 4). Pattern match "(?:<(?:TITLE>Index of.*?<H|title>Index of.*?<h)1>Index of|>\\[To Parent Directory\\]<\\/[Aa]><br>)" at RESPONSE_BODY. [file "/etc/modsecurity2/modsecurity_crs_50_outbound.conf"] [line "54"] [id "970013"] [b][msg "Directory Listing"][/b] [severity "WARNING"] [tag "LEAKAGE/INFO"] [hostname "download.menkisys.de"] [uri "/"] [unique_id "GyiEult5j78AAHwFBREAAAAC"]

hab in den modsec logs nachgeschaut und dieses festgestellt. directory listing wird aus sicherheitsgründen verboten. die rule: modsecurity_crs_50_outbound.conf zeile 54.

muss mal checken wie ich das in modsec aktivieren kann ohne das ich zuviel abschalte.

hier das rule:
Code:
# Directory Listing
SecRule RESPONSE_BODY "(?:<(?:TITLE>Index of.*?<H|title>Index of.*?<h)1>Index of|>\[To Parent Directory\]<\/[Aa]><br>)" \
        "phase:4,t:none,ctl:auditLogParts=+E,deny,log,auditlog,status:403,msg:'Directory Listing',id:'970013',tag:'LEAKAGE/INFO',severity:'4'"

ich kanns ja nur serverweit deaktivieren. aber das ich nicht so erwünscht. umsonst wird es sicherlich nicht von modesecurity verboten.

MENKI
(This post was last modified: 09-14-2008 06:55 PM by menki.)
09-14-2008 05:41 AM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 4 Guest(s)