Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Apache Konfiguration (Vserver)

7 views
Skip to first unread message

Carmen Meier

unread,
Oct 19, 2011, 3:30:00 AM10/19/11
to
Hallo zusammen

wie kann ich die Ursache für diese immense Sicherheitslücke finden:

URL zeigt auf den Vserver
1. URL nicht als vhost eingetragen -> wird auf default geleitet
2. URL als vhost eingetragen Index.??? Datei vorhanden alles ok
aber:
3. URL als vhost eingetragen Index.??? Datei nicht vorhanden -> das
Vserver root wird als Directory Listing angezeigt mit Möglichkeit durch
etliche Verzeichnisse zu klicken!?!?



liebe Grüße Carmen

Carsten Wiedmann

unread,
Oct 19, 2011, 8:58:53 AM10/19/11
to
Am 19.10.2011 09:30, schrieb Carmen Meier:
> 3. URL als vhost eingetragen Index.??? Datei nicht vorhanden -> das
> Vserver root wird als Directory Listing angezeigt mit Möglichkeit durch
> etliche Verzeichnisse zu klicken!?!?

In der Konfiguration des VHosts (Vserver) musst du folgendes
konfigurieren [1]:
| Options -Indexes

Gruß,
Carsten

[1] http://httpd.apache.org/docs/current/mod/core.html#options

Carmen Meier

unread,
Oct 19, 2011, 9:55:42 AM10/19/11
to
Hi Carsten

nachdem ich auf die Virtualisierung keinen Zugriff habe muss ich das
weiterleiten, oder kann ich das innerhalb des Vservers auch ändern?


Liebe Grüße Carmen

Carsten Wiedmann

unread,
Oct 19, 2011, 10:40:03 AM10/19/11
to
Am 19.10.2011 15:55, schrieb Carmen Meier:
>>
>> In der Konfiguration des VHosts (Vserver) musst du folgendes
>> konfigurieren [1]:
>> | Options -Indexes
>
> nachdem ich auf die Virtualisierung keinen Zugriff habe muss ich das
> weiterleiten, oder kann ich das innerhalb des Vservers auch ändern?

Das wird eben normal in der Konfigurationsdatei des Apachen eingetragen.
z.B.:
| NameVirtualHost *:80
| <VirtualHost *:80>
| ServerName www.example.com
| DocumentRoot /www/vhosts/www.example.com
| <Directory /www/vhosts/www.example.com>
| Order allow,deny
| Allow from all
| Options ...
Hier darf halt kein All, oder Indexes dabei sein. Oder explizit ein
"-Indexes aufführen.
| </Directory>
| </VirtualHost>

Solltest du keinen Zugriff auf die Apache Konfigurationsdatei haben,
dann könntest du auch im DocumentRoot des VHosts (hier
"/www/vhosts/www.example.com") eine ".htaccess" anlegen mit eben diesem
Inhalt:
| Options -Indexes

Wenn beides nicht geht, dann mit dem Hoster reden.

Gruß,
Carsten

Carmen Meier

unread,
Oct 19, 2011, 1:25:00 PM10/19/11
to
Am 19.10.2011 16:40, schrieb Carsten Wiedmann:
> Am 19.10.2011 15:55, schrieb Carmen Meier:
>>>
> Das wird eben normal in der Konfigurationsdatei des Apachen eingetragen.
> z.B.:
...
irgendetwas verstehe ich nicht ...
Es ist Debina Lenny

die httpd.conf ist ja immer leer

Ich habe in /etc/apache2/sites-avialable die default

<VirtualHost *:80>
ServerAdmin webmaster@localhost

DocumentRoot /var/www/
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>


und solange kein vhost eingetragen ist, wird die benutzt.

Wo muss ich nun hineinschreiben dass er bei fehlender index.php in
.../vserver_root/var/www/web1 nicht das Directory von .../vserver_root/
anstatt .../vserver_root/var/www listet.

mir ist es egal ob im var/www die Verzeichnisse angezeigt werden (das
ist in der (php.ini ohnehin abgeschaltet), aber warum der apache dann
.../vserver_root/ listet ist mir immer noch unklar.
Fehlt die index.??? in .../vserver_root/var/www/web1/temp so kommt

Forbidden

You don't have permission to access /temp/ on this server.



Liebe Grüße Carmen

Thomas Hochstein

unread,
Oct 19, 2011, 11:49:50 PM10/19/11
to
Carmen Meier schrieb:

> wie kann ich die Ursache für diese immense Sicherheitslücke finden:

Als "Sicherheitslücke" würde ich das nun nicht bezeichnen.

> URL zeigt auf den Vserver
> 1. URL nicht als vhost eingetragen -> wird auf default geleitet

Klar.

> 2. URL als vhost eingetragen Index.??? Datei vorhanden alles ok

Klar.

> aber:
> 3. URL als vhost eingetragen Index.??? Datei nicht vorhanden -> das
> Vserver root

Das sollte nicht der Fall sein - es sei denn, als DocumentRoot wäre /
eingetragen, das wäre dann aber ein Konfigurationsfehler.

> wird als Directory Listing angezeigt mit Möglichkeit durch
> etliche Verzeichnisse zu klicken!?!?

Klar. Das ist mod_autoindex.
<http://httpd.apache.org/docs/2.0/mod/mod_autoindex.html>

Das kannst Du wahrscheinlich schlicht deaktivieren, wenn Du es nie
haben willst, oder Du schaltest die Index-Anzeige einfach ab, entweder
direkt in der Konfiguration des vhosts oder in einer .htaccess-Datei.

Grüße,
-thh

Thomas Hochstein

unread,
Oct 19, 2011, 11:29:24 PM10/19/11
to
Carmen Meier schrieb:

> Am 19.10.2011 14:58, schrieb Carsten Wiedmann:
>> In der Konfiguration des VHosts (Vserver) musst du folgendes
>> konfigurieren [1]:
>>| Options -Indexes
[...]
> nachdem ich auf die Virtualisierung keinen Zugriff habe muss ich das
> weiterleiten, oder kann ich das innerhalb des Vservers auch ändern?

Du müßtest schlicht Deinen Apache so konfigurieren, wie Du ihn
konfiguriert haben willst. :)

Grüße,
-thh

Thomas Hochstein

unread,
Oct 19, 2011, 11:30:53 PM10/19/11
to
Carmen Meier schrieb:

> Wo muss ich nun hineinschreiben dass er bei fehlender index.php in
> .../vserver_root/var/www/web1 nicht das Directory von .../vserver_root/
> anstatt .../vserver_root/var/www listet.

Der Grund dafür kann eigentlich nur ein falsches DocumentRoot für den
betreffenden vhost sein. Wie sieht denn dessen Konfiguration in
sites-available aus?

Grüße,
-thh

Carmen Meier

unread,
Oct 20, 2011, 4:26:15 AM10/20/11
to
Am 20.10.2011 05:30, schrieb Thomas Hochstein:

> Der Grund dafür kann eigentlich nur ein falsches DocumentRoot für den
> betreffenden vhost sein. Wie sieht denn dessen Konfiguration in
> sites-available aus?
>
> Grüße,
> -thh

Das Document root findet er ja wenn eine index.??? vorhanden ist

<VirtualHost *:80>
DocumentRoot "/var/www/sever_path/web"
ServerName sever_name
ServerAlias www.sever_name
ServerAdmin webmaster@sever_name

ErrorLog /var/log/apache2/sever_path/error.log


<Directory "/var/www/sever_path/web">
Options FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
</Directory>


# Clear PHP settings of this website
<FilesMatch "\.ph(p3?|tml)$">
SetHandler None
</FilesMatch>
# mod_php enabled
AddType application/x-httpd-php .php .php3 .php4 .php5
php_admin_value sendmail_path "/usr/sbin/sendmail -t -i
-fwebmaster@sever_name"
php_admin_value upload_tmp_dir /var/www/sever_path/tmp
php_admin_value session.save_path /var/www/sever_path/tmp
# PHPIniDir /var/www/conf/sever_path.de
php_admin_value open_basedir
/var/www/sever_path/web:/var/www/sever_path/tmp:/usr/share/php5:/tmp:/usr/share/phpmyadmin:/etc/phpmyadmin:/var/lib/phpmyadmin

RewriteEngine on
RewriteCond %{HTTP_HOST} ^sever_name [NC]
RewriteRule ^/(.*)$ /$1
RewriteCond %{HTTP_HOST} ^www.sever_name [NC]
RewriteRule ^/(.*)$ /$1

# add support for apache mpm_itk
<IfModule mpm_itk_module>
AssignUserId sever_name client0
</IfModule>

<IfModule mod_dav_fs.c>
# DO NOT REMOVE THE COMMENTS!
# IF YOU REMOVE THEM, WEBDAV WILL NOT WORK ANYMORE!
# WEBDAV BEGIN
# WEBDAV END
</IfModule>


</VirtualHost>





Liebe Grüße Carmen

Carmen Meier

unread,
Oct 24, 2011, 3:56:20 AM10/24/11
to
Hallo Thomas,

kannst Du an der vhost Datei irgendetwas Falsches erkennen?

Liebe Grüße Carmen

Carmen Meier

unread,
Oct 24, 2011, 3:59:34 AM10/24/11
to
p.s

warum in aller Welt steht bei mir immer "Web de" als Absender

Ich habe das nirgends angegeben - nur Emailadresse und vollen Namen ...
Liebe Grüße
Carmen
0 new messages