verzeichniss auflisten!

[menki]

ein verzeichniss wurde unter /htdocs erstellt. dieses hat diese .htaccess bekommen:

Code:

Options +Indexes

### START ISPCP PROTECTION ###

        AuthType Basic
        AuthName "menkiSys Arhiva"
        AuthUserFile /var/www/virtual/menkisys.de/.htpasswd
        Require user download
    
### END ISPCP PROTECTION ###

ein user "download" wurde erstellt! dieser user hat auch ein passwort bekommen der auch in der .htpasswd verschlüsselt ersichtlich ist.

beim aufrufen des verzeichnisses /arhiva möchte ich das der inhalt angezeigt wird. dieses wird aber nie angezeigt. sogar seit der version RC4. was mache ich falsch? allow override funktion?

danke

MENKI

[BeNe]

Weil diese Option sicherlich in der Apacheconfig augestellt ist.
Schau erstmal da nach. Weil so kannst Du es dann nicht überschreiben.

Greez BeNe

[menki]

meine hauptseite rennt ja auch als ein virtual user. deswegen würde ich dieses listen aktivieren aber nur in diesem verzeichniss und nur bei diesem virtualuser. geht das ?

und bene welche config soll ich da bearbeiten wenn ich dieses so umsetzen will (vorausgesetzt es ist möglich).

MENKI

[BeNe]

Wenn Du deine

Code:

/etc/apache2/sites-enabled/ispcp.conf

Auf machst hast Du zu jeder Domain die Standardeinträge.
Hier wird "Indexes" verboten! Hat ein "-" minus davor.
Das muss weg und schon geht es

Code:

<IfModule mod_fastcgi.c>
        ScriptAlias /php4/ /var/www/fcgi/deinedomain.tld/
        ScriptAlias /php5/ /var/www/fcgi/deinedomain.tld/
        <Directory "/var/www/fcgi/deinedomain.tld">
            AllowOverride None
            Options +ExecCGI -MultiViews -Indexes
            Order allow,deny
            Allow from all
        </Directory>
    </IfModule>
    # httpd sub entry PHP2 support END.

    <Directory /var/www/virtual/tdeinedomain.tld/os/htdocs>
        # httpd sub entry PHP support BEGIN.
        # httpd sub entry PHP support END.
        Options -Indexes Includes FollowSymLinks MultiViews
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>

Greez BeNe

[menki]

danke für die hilfe. trotzdem würde sich das +Indexes auf das gesamte /htdocs auswirken?
ich werde mal probieren wie es sich bewährt. umsonst ist es ja auch nicht deaktiviert. :-)


ps: PAM(ftp@menkisys.de): User not known to the underlying authentication module.

diese fehlermeldung wird seit RC4 immer wieder angezeigt. nachdem diese zeilen in die proftpd.conf eingefügt wurden kommt der fehler nicht mehr:

Code:

AuthOrder mod_sql.c

ist das ein fehler, beabsichtigt, bug?

MENKI

[BeNe]

Quote:danke für die hilfe. trotzdem würde sich das +Indexes auf das gesamte /htdocs auswirken?
ich werde mal probieren wie es sich bewährt. umsonst ist es ja auch nicht deaktiviert. :-)

Wenn Du es wie oben machst und eine Subdomain einrichtest dann nur auf die Subdomain. Kannst ja download.domain.tld nennen.

Ja ist halt aus Sicherheitsgründen deaktiviert. Per default auch besser für den ein oder anderen.

Quote:diese fehlermeldung wird seit rC4 iummer wieder angezeigt.

Wo ? In der Log ?

Quote:nachdem diese zeilen in die proftpd.conf eingefügt wurden kommt der fehler nicht mehr:

Weil er erstmal die verschiedenen auth-module versucht, wenn nicht springt er modul für modul weiter bis er einen zugang geben kann.

Greez BeNe

[menki]

das mit der SUBdomain habe ich komplett vergessen.

ja es sind log fehler die MIR seit der version RC4 sichtbar sind.

danke

MENKI

[menki]

habe das so umgesetzt wie du sagtest bene, aber trotzdem bekomme ich 403 error meldung. das ist der inhalt der .htaccess:

Code:

Options +Indexes

die datei /etc/apache2/sites-enabled/ispcp.conf und die /etc/ispcp/apache/working/ispcp.conf habe ich angepasst. habe das minus vor dem Indexes entfernt und es funktioniert trotzdem nicht.

subdomain download.meinedomain.de wurde angelegt. der pfad geht ins verzeichniss wo halt die .htacces liegt und die files die veröffentlicht werden sollen.

irgendetwas stimmt da nicht.

MENKI

[Kotty]

menki Wrote:habe das so umgesetzt wie du sagtest bene, aber trotzdem bekomme ich 403 error meldung. das ist der inhalt der .htaccess:

Code:

Options +Indexes

die datei /etc/apache2/sites-enabled/ispcp.conf und die /etc/ispcp/apache/working/ispcp.conf habe ich angepasst. habe das minus vor dem Indexes entfernt und es funktioniert trotzdem nicht.

subdomain download.meinedomain.de wurde angelegt. der pfad geht ins verzeichniss wo halt die .htacces liegt und die files die veröffentlicht werden sollen.

irgendetwas stimmt da nicht.

MENKI

403 is ein Forbidden was steht denn in den logs beim zugriff? Welchem user gehört die .htaccess?
wie Sieht denn der Subdomaineintrag im Indianer aus?

interresant ist folgender teil:

# httpd sub entry PHP2 support END.

<Directory /var/www/virtual/xxxxxxxx>
# httpd sub entry PHP support BEGIN.
# httpd sub entry PHP support END.
Options xxxx
AllowOverride xxxx
Order allow,deny
Allow from all
</Directory>

[menki]

ist stelle fest MODSECURITY bremmst mich aus!

Code:

[Sat Sep 13 21:35:35 2008] [error] [client 90.146.240.*] ModSecurity: Access denied [b]with code 403[/b] (phase 4). Pattern match "(?:<(?:TITLE>Index of.*?<H|title>Index of.*?<h)1>Index of|>\\[To Parent Directory\\]<\\/[Aa]><br>)" at RESPONSE_BODY. [file "/etc/modsecurity2/modsecurity_crs_50_outbound.conf"] [line "54"] [id "970013"] [b][msg "Directory Listing"][/b] [severity "WARNING"] [tag "LEAKAGE/INFO"] [hostname "download.menkisys.de"] [uri "/"] [unique_id "GyiEult5j78AAHwFBREAAAAC"]

hab in den modsec logs nachgeschaut und dieses festgestellt. directory listing wird aus sicherheitsgründen verboten. die rule: modsecurity_crs_50_outbound.conf zeile 54.

muss mal checken wie ich das in modsec aktivieren kann ohne das ich zuviel abschalte.

hier das rule:

Code:

# Directory Listing
SecRule RESPONSE_BODY "(?:<(?:TITLE>Index of.*?<H|title>Index of.*?<h)1>Index of|>\[To Parent Directory\]<\/[Aa]><br>)" \
        "phase:4,t:none,ctl:auditLogParts=+E,deny,log,auditlog,status:403,msg:'Directory Listing',id:'970013',tag:'LEAKAGE/INFO',severity:'4'"

ich kanns ja nur serverweit deaktivieren. aber das ich nicht so erwünscht. umsonst wird es sicherlich nicht von modesecurity verboten.

MENKI