Verzeichnisse sperren

[manu]

Hallo zusammen,

ich habe TYPOlight erfolgreich auf einem Lighttpd laufen. Nun überlege ich mir verschieden Verzeichnisse zu sperren. Sollte der PHP-Interpreter mal ausfallen, hat man trotzdem keinen Zugriff auf den Klartext-Inhalt.
Aber welche Verzeichnisse kann ich sperren? Gerade das Verzeichnis in dem das Passwort für die DB liegt wäre wichtig. Könnt ihr mir da ein Liste aufstellen. Habe über Google oder hier ihm Forum nichts finden können.


Gruß Manu

[Toflar]

TL hat ja fast in jedem Ordner eine .htaccess liegen.
Das sollte doch eigentlich schon deinen Wunsch erfüllen oder?

[manu]

Da muss ich nochmal genau suchen, habe nämlich nicht so viele gefunden.

Aber die .htaccess funktionieren unter lighttpd nicht.
Da muss man das direkt in der Konfiguration machen.


Gruß Manu

[manu]

Ich habe nun alle .htaccess gefunden.
Jetzt muss ich die nur noch alle in meiner Konfiguration vom lighty sperren:

Code:

./system/tmp/.htaccess
./system/modules/news/templates/.htaccess
./system/modules/news/config/.htaccess
./system/modules/news/languages/en/.htaccess
./system/modules/news/languages/de/.htaccess
./system/modules/news/dca/.htaccess
./system/modules/rep_base/languages/en/.htaccess
./system/modules/rep_base/languages/de/.htaccess
./system/modules/rep_base/dca/.htaccess
./system/modules/rep_client/templates/.htaccess
./system/modules/rep_client/config/.htaccess
./system/modules/rep_client/languages/en/.htaccess
./system/modules/rep_client/languages/de/.htaccess
./system/modules/rep_client/dca/.htaccess
./system/modules/registration/templates/.htaccess
./system/modules/registration/config/.htaccess
./system/modules/registration/languages/en/.htaccess
./system/modules/registration/languages/de/.htaccess
./system/modules/registration/dca/.htaccess
./system/modules/glossary/templates/.htaccess
./system/modules/glossary/config/.htaccess
./system/modules/glossary/languages/en/.htaccess
./system/modules/glossary/languages/de/.htaccess
./system/modules/glossary/dca/.htaccess
./system/modules/rss_reader/templates/.htaccess
./system/modules/rss_reader/config/.htaccess
./system/modules/rss_reader/languages/en/.htaccess
./system/modules/rss_reader/languages/de/.htaccess
./system/modules/rss_reader/dca/.htaccess
./system/modules/comments/templates/.htaccess
./system/modules/comments/config/.htaccess
./system/modules/comments/languages/en/.htaccess
./system/modules/comments/languages/de/.htaccess
./system/modules/comments/dca/.htaccess
./system/modules/dfGallery/templates/.htaccess
./system/modules/dfGallery/config/.htaccess
./system/modules/dfGallery/languages/en/.htaccess
./system/modules/dfGallery/languages/de/.htaccess
./system/modules/dfGallery/dca/.htaccess
./system/modules/faq/templates/.htaccess
./system/modules/faq/config/.htaccess
./system/modules/faq/languages/en/.htaccess
./system/modules/faq/languages/de/.htaccess
./system/modules/faq/dca/.htaccess
./system/modules/calendar/templates/.htaccess
./system/modules/calendar/config/.htaccess
./system/modules/calendar/languages/en/.htaccess
./system/modules/calendar/languages/de/.htaccess
./system/modules/calendar/dca/.htaccess
./system/modules/newsletter/templates/.htaccess
./system/modules/newsletter/config/.htaccess
./system/modules/newsletter/languages/en/.htaccess
./system/modules/newsletter/languages/de/.htaccess
./system/modules/newsletter/dca/.htaccess
./system/modules/listing/templates/.htaccess
./system/modules/listing/config/.htaccess
./system/modules/listing/languages/en/.htaccess
./system/modules/listing/languages/de/.htaccess
./system/modules/listing/dca/.htaccess
./system/modules/backend/templates/.htaccess
./system/modules/backend/config/.htaccess
./system/modules/backend/languages/en/.htaccess
./system/modules/backend/languages/de/.htaccess
./system/modules/backend/dca/.htaccess
./system/modules/tpl_editor/config/.htaccess
./system/modules/tpl_editor/languages/en/.htaccess
./system/modules/tpl_editor/languages/de/.htaccess
./system/modules/tpl_editor/dca/.htaccess
./system/modules/frontend/templates/.htaccess
./system/modules/frontend/config/.htaccess
./system/modules/frontend/languages/en/.htaccess
./system/modules/frontend/languages/de/.htaccess
./system/modules/memberlist/templates/.htaccess
./system/modules/memberlist/config/.htaccess
./system/modules/memberlist/languages/en/.htaccess
./system/modules/memberlist/languages/de/.htaccess
./system/modules/memberlist/dca/.htaccess
./system/libraries/.htaccess
./system/config/.htaccess
./system/drivers/.htaccess
./system/logs/.htaccess
./templates/.htaccess
./plugins/tcpdf/cache/.htaccess

[manu]

Kann mir einer sagen, ob ich system/modules auch komplett sperren kann?
Dadurch würde sich die Anzahl der Verzeichnisse drastisch senken.


Gruß Manu

[do_while]

Kann mir einer sagen, ob ich system/modules auch komplett sperren kann?
Dadurch würde sich die Anzahl der Verzeichnisse drastisch senken.


Gruß Manu

Hallo Manu,
in den Erweiterungen sind oft Bilder oder html- bzw. css-Dateien drin, die direkt in der Seite eingebunden werden. Dadurch müssen diese natürlich über einen URL erreichbar sein. Wenn Du diese Verzeichnisse sperrst, wird es nicht funktionieren.

In den gesperrten Verzeichnissen kann dann nur PHP lesen.

[manu]

Die Funktionsweise ist mir klar. Dass da Bilder sind, wusste ich nicht. Dann fällt diese Variante natürlich aus.

Eigentlich muss ich die Module auch nicht sperren, oder legen manche Module darin geheime Werte ab?

Dafür gibt es den config-Ordner, oder habe ich das falsch verstanden?



Gruß Manu

[Toflar]

Also ich bin eh der Meinung, dass es sich nicht 100%ig schützen lässt.
In den meisten Fällen hängt doch PHP eh am Server fest, das heisst, wenn jemand Zugriff auf die Dateien haben will, dann muss er ebenfalls auf dem gleichen Server sein.

Ausserdem, gerade weil eben Server und PHP zusammenhängen ---> wenn der PHP Interpreter down ist, wird es wohl deswegen sein, weil der Server nicht mehr kann und ohne Strom kann ja dann eh niemand mehr von aussen darauf zugreifen.

Solange alle Dateien mit .php enden und nicht etwa mit .inc oder ähnlichem, wird es schon ziemlich sicher sein

Ich kann mich aber auch irren Dafür sind ja andere Mitglieder im Forum da

[manu]

Danke für deine Antwort.
Ich habe noch nie mitbekommen, dass der PHP-Interpreter mal ausgefallen ist. Obwohl ich PHP schon einige Jahre erfolgreich einsetze.

In system/ habe ich einige Ordner gesperrt. Außer die Module. Aber das sollte reichen. Ich werde es so belassen.


Gruß Manu

[dominik.zogg@gmail.com]

Da lighttpd Scripts einbinden kann, habe ich ein php Script geschrieben, welches nach .htaccess Dateien sucht mit folgendem Inhalt:

Code:

order deny,allow
deny from all

Dann wird aus dem Pfad in dem die Datei liegt ein "url.access-deny" generiert.

Diese Methode geht nur wenn php5-cli verfügbar ist und achtet nur auf Dateien, die beim starten des Webservers verfügbar sind.

/etc/lighttpd/scripts/folderwithhtaccess

PHP-Code:

#!/usr/bin/php -dsafe_mode=Off
<?php

$folders = recursive_htaccess_search($argv[1]);
if(is_array($folders)) {
    foreach($folders as $folder) {
        $file = file_get_contents($folder . ".htaccess");
        if(strpos($file, "order deny,allow\ndeny from all") !== false) {
            echo "\$HTTP[\"url\"] =~ \"^" . substr(substr($folder, strlen($argv[1])), 0, -1) . "\" { url.access-deny = (\"\") }\n";
        }
    }
}

function recursive_htaccess_search($path, $file = ".htaccess") {
    $return = array();
    if(substr($path, -1) != "/") {
        $path = $path . "/";
    }
    if(is_dir($path)) {
        $handle = opendir($path);
        while(false !== ($subpath = readdir($handle))) {
            if(is_dir($path . $subpath) && $subpath != "." && $subpath != "..") {
                $return = array_merge($return, recursive_htaccess_search($path . $subpath));
            }
        }
        closedir($handle);
        if(is_file($path . $file)) {
            $return[] = $path;
        }
    }
    return($return);
}

/etc/lighttpd/includes/cms/contao-rewrite.inc

Code:

server.error-handler-404  = "index.php"
include_shell "scripts/folderwithhtaccess " + var.basepath + "public_html"
url.rewrite-if-not-file = (
    ".*\.html(.*?)$" => "index.php$1"
)

/etc/lighttpd/sites-available/www.test.com

Code:

$HTTP["host"] =~ "^(www\.|)test\.ch$" {
    $HTTP["host"] != "www.test.ch" {
        url.redirect = ( "^/(.*)" => "http://www.test.ch/$1" )
    }
    var.servername = "www.test.ch"
    var.basepath = "/var/www/vhosts/www.test.ch/"
    include "includes/php.inc"
    include "includes/cms/contao-rewrite.inc"
    server.name = var.servername
    server.document-root = var.basepath + "public_html/"
    server.indexfiles = ( "index.php" )
    accesslog.filename = var.basepath + "log/access.log"
}

// Die RewriteRule habe ich überarbeitet, die alte war fehlerhaft, löste Fehler bei der internen Suche beim indexieren aus.