Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 28. April 2011 22:51

tetiaroa
probiert CMS/ms aus
Registriert: 31. März 2011
Beiträge: 44

Absicherung von CMS ms mit .htaccess-Datei

Jetzt wollte ich meine Installation gemäß der Anleitung absichern.

Aber wenn ich wie beschrieben die folgende .htaccess-Datei im CMSms-Hauptordner abspeichere:

# BEGIN Optional settings 
# Turns off directory browsing 
# not absolutely essential, but keeps people from snooping around without 
# needing empty index.html files everywhere 
Options -Indexes 
# Deny access to config.php 
# This can be useful if php ever breaks or dies 
# Use with caution, this may break other functions of CMSms that use a config.php 
# file. This may also break other programs you have running under your CMSms 
# install that use config.php. You may need to add another .htaccess file to those 
# directories to specifically allow config.php. 
order allow,deny 
deny from all 
# No sense advertising what we are running 
ServerSignature Off 
# END Optional Settings

Dann habe ich nach Aufruf des Admin-Kontos keinen Zugriff mehr:

403 Forbidden: You don't have permission to access /login.php on this server.


... hat von CMSMS gehört, aber schon damit seine Webseite über Informationen zum gesunden Leben erstellt smile

Offline

#2 28. April 2011 23:26

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.436

Re: Absicherung von CMS ms mit .htaccess-Datei

Hm... diese Anleitung erscheint mir fehlerhaft.
Laut dieser .htaccess-Datei verbietest Du den direkten Zugriff auf alle Dateien (und Verzeichnisse).
Das muss zwangsläufig zu dieser Fehlermeldung führen.

Da die .htaccess Datei auch für Unterverzeichnisse gilt (sofern dort keine weitere .htaccess Datei mit anderen Anweisungen existiert), dürftest Du außerdem auch auf keine anderen Verzeichnisse (wie z.B. das Uploads-Verzeichnis) zugreifen können.

Meine .htacces Datei im Root sieht z.B. so aus:

#disallow browsing: 
Options -Indexes

#hide some server/cms ouput:
ServerSignature Off 
php_flag display_errors off 
php_flag magic_quotes_gpc Off 
php_flag register_globals Off 
php_flag session.use_trans_sid Off

#default file:
DirectoryIndex index.php

# FILE ACCESS:

#deny acces to all files: 
<Files *.*> 
order deny,allow
deny from all 
</Files>

# grant access to certain files only: 

<Files "index.php"> 
order allow,deny
allow from all
</Files>

<Files "stylesheet.php">
order allow,deny
allow from all
</Files>

# END FILE ACCESS 

Im Admin-Verzeichnis muss man diese Einschränkungen allerdings wieder aufheben:

# .htaccess admin folder:
<Files *.*> 
order allow,deny
allow from all
</Files>

Im Lib-Verzeichnis verwende ich diese:

# .htaccess lib folder:

#deny acces to all files: 
<Files *.*> 
order allow,deny
deny from all 
</Files>

# grant access to certain files only: 
<Files ~ ".*\.css|.*\.js|.*\.gif|.*\jpe?g|editor.php|thumbs.php|images.php|editorFrame.php$">
Order allow,deny 
Allow from all 
</Files>

Im Modules-Verzeichnis diese:

order deny,allow
deny from all 
<Files *.*> 
Order deny,allow
Deny from All 
</Files>
<Files ~ "\.(htm|html|css|js|gif|jpg|jpe?g|png)$"> 
Order allow,deny
Allow from all
</Files>
<Files "tinyconfig.php">
Order allow,deny
Allow from All
</Files>
<Files "filepicker.php">
Order allow,deny
Allow from All
</Files>
<Files "stylesheet.php">
Order allow,deny
Allow from All
</Files>
DirectoryIndex index.html 

Und im uploads-Verezeichnis:

order deny,allow
deny from all 
<Files *.*> 
Order deny,allow
Deny from All 
</Files>
<Files ~ "\.(ico|ICO|css|js|gif|jpe?g|png|pdf|txt|doc|wri|rtf|xls|ppt|pps|csv|xml|mp3|dcr|swf|avi|mov|flv|CSS|JS|GIF|JPE?G|PNG|PDF|TXT|DOC|WRI|RTF|XLS|PPT|PPS|CSV|XML|MP3|DCR|SWF|AVI|MOV|FLV)$">
Order allow,deny
Allow from all
</Files>
DirectoryIndex index.html 

EDIT:

und im tmp-Verzeichnis:

order deny,allow
deny from all 
<Files *.*> 
Order deny,allow
Deny from All 
</Files>
<Files ~ "\.(css|js|gif|jpg|jpe?g|png|pdf)$">
Order allow,deny
Allow from all
</Files>

Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#3 28. April 2011 07:33

tetiaroa
probiert CMS/ms aus
Registriert: 31. März 2011
Beiträge: 44

Re: Absicherung von CMS ms mit .htaccess-Datei

Danke, das werde ich noch anpassen. Habe jetzt erst mal die fehlerhaften .htaccess Dateien entfernt, denn die hatten einige Fehlermeldungen verursacht.

Z. B. werden mir in jetzt in der Administration unter Erweiterungen/Tags jetzt oben PHP-Fehlermeldungen angezeigt:

Warning: Cannot modify header information - headers already sent by

Wie kann ich die wieder löschen?


... hat von CMSMS gehört, aber schon damit seine Webseite über Informationen zum gesunden Leben erstellt smile

Offline

#4 28. April 2011 07:47

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.436

Re: Absicherung von CMS ms mit .htaccess-Datei

Ohne vollständige Fehlermeldung kann ich das nicht so genau sagen.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#5 28. April 2011 09:20

tetiaroa
probiert CMS/ms aus
Registriert: 31. März 2011
Beiträge: 44

Re: Absicherung von CMS ms mit .htaccess-Datei

Ich bin ja zu 1blu umgezogen, dann hatte anfangs das Kontaktformular nicht funktioniert (weil ich vergessen hatte bei 1blu eine Weiterleitungs E-Mail-Adresse anzugeben). Die Test-Anfragen im Kontaktformular landeten anscheinend im Datennirwana. Das sind doch vermutlich in der Administration unter Erweiterungen/Tags die PHP-Fehlermeldungen:

[== PHP ==]
Warning: Cannot modify header information - headers already sent by (output started at /hp/bx/aa/au/www/bio-welt-info/plugins/function.contact_form.php:1) in /hp/bx/aa/au/www/bio-welt-info/lib/classes/class.admintheme.inc.php on line 188  
Warning: Cannot modify header information - headers already sent by (output started at /hp/bx/aa/au/www/bio-welt-info/plugins/function.contact_form.php:1) in /hp/bx/aa/au/www/bio-welt-info/lib/classes/class.admintheme.inc.php on line 191  
Warning: Cannot modify header information - headers already sent by (output started at /hp/bx/aa/au/www/bio-welt-info/plugins/function.contact_form.php:1) in /hp/bx/aa/au/www/bio-welt-info/lib/classes/class.admintheme.inc.php on line 194  
Warning: Cannot modify header information - headers already sent by (output started at /hp/bx/aa/au/www/bio-welt-info/plugins/function.contact_form.php:1) in /hp/bx/aa/au/www/bio-welt-info/lib/classes/class.admintheme.inc.php on line 195  
Warning: Cannot modify header information - headers already sent by (output started at /hp/bx/aa/au/www/bio-welt-info/plugins/function.contact_form.php:1) in /hp/bx/aa/au/www/bio-welt-info/lib/classes/class.admintheme.inc.php on line 198  
Warning: Cannot modify header information - headers already sent by (output started at /hp/bx/aa/au/www/bio-welt-info/plugins/function.contact_form.php:1) in /hp/bx/aa/au/www/bio-welt-info/lib/classes/class.admintheme.inc.php on line 203

Oder?


... hat von CMSMS gehört, aber schon damit seine Webseite über Informationen zum gesunden Leben erstellt smile

Offline

#6 28. April 2011 09:51

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.436

Re: Absicherung von CMS ms mit .htaccess-Datei

Jedenfalls liegt der Fehler nicht in der .htaccess Datei sondern im contact_form Plugin.
Ich vermute einen Kodierungsfehler oder so was (Stichwort BOM).
Einfach mal die Datei öffnen, die erste Zeile löschen und das <?php selber nochmal einfügen, speichern und wieder hochladen.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#7 28. April 2011 10:23

tetiaroa
probiert CMS/ms aus
Registriert: 31. März 2011
Beiträge: 44

Re: Absicherung von CMS ms mit .htaccess-Datei

Danke NaN,
ich habe jetzt die function.contact_form.php einfach gelöscht und durch die vorletzte Sicherung ersetzt. Die Fehlermeldungen sind nun weg. Warum, weiß ich nicht, denn die function.contact_form.php sollte eigentlich die gleiche sein, da ich seither nichts verändert hatte.


... hat von CMSMS gehört, aber schon damit seine Webseite über Informationen zum gesunden Leben erstellt smile

Offline

#8 28. April 2011 11:01

tetiaroa
probiert CMS/ms aus
Registriert: 31. März 2011
Beiträge: 44

Re: Absicherung von CMS ms mit .htaccess-Datei

NaN schrieb:

Meine .htacces Datei im Root sieht z.B. so aus:

#disallow browsing: 
Options -Indexes

#hide some server/cms ouput:
ServerSignature Off 
php_flag display_errors off 
php_flag magic_quotes_gpc Off 
php_flag register_globals Off 
php_flag session.use_trans_sid Off

#default file:
DirectoryIndex index.php

# FILE ACCESS:

#deny acces to all files: 
<Files *.*> 
order deny,allow
deny from all 
</Files>

# grant access to certain files only: 

<Files "index.php"> 
order allow,deny
allow from all
</Files>

<Files "stylesheet.php">
order allow,deny
allow from all
</Files>

# END FILE ACCESS 

Ich hatte jetzt alle .htaccess-Dateien so übernommen, aber dann war die Web-Seite und der Admin-Bereich nicht mehr abrufbar:

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, [no address given] and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.


Habe jetzt die .htaccess vom Root wieder deaktiviert und soweit läuft der Rest.

Was müßte ich event. in der Datei anpassen?


... hat von CMSMS gehört, aber schon damit seine Webseite über Informationen zum gesunden Leben erstellt smile

Offline

#9 28. April 2011 12:09

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.436

Re: Absicherung von CMS ms mit .htaccess-Datei

Hm, schwer zu sagen.
Das ist auch wieder Provider-abhängig.
Da musst Du mal ein wenig rumprobieren.

Eventuell könnten diese Zeilen dafür verantwortlich sein:

#hide some server/cms ouput:
ServerSignature Off 
php_flag display_errors off 
php_flag magic_quotes_gpc Off 
php_flag register_globals Off 
php_flag session.use_trans_sid Off

Kommetier die mal Stück für Stück aus (einfach ein Rautezeichen # an den Zeilenanfang setzen).
Und dann immer wieder hoch- und neuladen.  roll
Ist nervig, aber eine andere Methode kenne ich jetzt nicht.

In den FAQ von 1blu habe ich auf die Schnelle nichts dazu gefunden, welche Einstellungen via .htaccess geändert werden dürfen und welche nicht. Hängt vermutlich auch mit nötigen PHP Modulen zusammen.
Du könntest auch den Provider anschreiben und fragen, welche Zeilen hier für einen "internal server error" verantwortlich sind, aber ich denke mit Ausprobieren bist Du da schneller.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#10 28. April 2011 13:05

tetiaroa
probiert CMS/ms aus
Registriert: 31. März 2011
Beiträge: 44

Re: Absicherung von CMS ms mit .htaccess-Datei

Hab' jetzt alle Variationen durchprobiert roll

Die folgenden (jetzt auskommentierten) Zeilen sind für den "internal server error" verantwortlich:

#hide some server/cms ouput: 
ServerSignature Off  
#php_flag display_errors off  
#php_flag magic_quotes_gpc Off  
#php_flag register_globals Off  
#php_flag session.use_trans_sid Off

(Nur "ServerSignature Off" ist kein Problem.)


Und

#deny acces to all files: 
#<Files *.*> 
#order deny,allow
#deny from all 
#</Files>

mußte ich auch auskommentieren, weil sonst die komplette Formatierung/Layout zerschossen war bzw. auch keine Bilder angezeigt werden.
Sieht dann ungefähr so aus, wie reiner Text via Minimal Template.


... hat von CMSMS gehört, aber schon damit seine Webseite über Informationen zum gesunden Leben erstellt smile

Offline

#11 28. April 2011 13:22

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.436

Re: Absicherung von CMS ms mit .htaccess-Datei

Dann bringt Dir das aber nichts.
Ich vermute Du verwendest {cms_stylesheet}.
D.h. die Stylesheets werden aus dem tmp Verzeichnis geladen.
Dort muss dann auch noch eine .htaccess Datei rein, die den Zugriff auf Bilder, CSS, Dateien, Javascipte etc. erlaubt:

order deny,allow
deny from all 
<Files *.*> 
Order deny,allow
Deny from All 
</Files>
<Files ~ "\.(css|js|gif|jpg|jpe?g|png|pdf)$">
Order allow,deny
Allow from all
</Files>

Im Prinzip könntest Du das aber auch schon in die root-htaccess packen.
Dann gilt es für alle Verzeichnisse.
Den Zugriff auf Styles, Javascripts, Bilder etc. sehe ich nicht als kritisch an.



PS...

@all:
Bitte nicht einfach nur blind kopieren und einfügen.
Versucht bitte zu verstehen was genau diese Einstellungen bedeuten.
Wichtig ist eigentlich nur folgendes Prinzip:

# Zugriff für alle Dateien verbieten geht so:
<Files *.*> 
order deny,allow
deny from all 
</Files>
# danach kann man einige Ausnahmen definieren...

# Zugriff auf alle Dateien erlauben geht so:
<Files *.*> 
order allow,deny
allow from all 
</Files>

# Zugriff auf eine bestimmte Datei erlauben:
<Files "index.php"> 
order allow,deny
allow from all
</Files>

# Zugriff auf eine bestimmte Datei verbieten:
<Files "config.php"> 
order deny,allow
deny from all
</Files>

# Zugriff auf bestimmte Dateitypen anhand der Dateiendung erlauben:
<Files ~ "\.(css|CSS|js|JS|gif|GIF|jpe?g|JPE?G|png|PNG|pdf|PDF|xml|XML|html?|HTML?| ... usw. ... alle Dateiformate, auf die der Zugriff erlaubt sein soll mit einem Pipe-Zeichen | getrennt )$">
Order allow,deny
Allow from all
</Files>

# Zugriff auf bestimmte Dateitypen anhand der Dateiendung verbieten:
<Files ~ "\.(php|PHP| ... )$">
Order deny, allow
Deny from all
</Files>

Die Einstellungen in einer .htaccess-Datei gelten auch für alle Unterverzeichnisse.
In den Unterverzeichnissen müssen also nur dann .htacces-Dateien rein, wenn für diese Verzeichnisse spezielle Ausnahmen gelten sollen.

Zusammenfassend könnte man sagen:
im Root-Verzeichnis braucht man außer auf die index.php und die stylesheet.php (und evtl. robots.txt und was so für Suchmaschinen etc. gedacht ist und unbedingt im root liegen muss) generell keinen Zugriff.
im Admin-Verzeichnis muss man aber wiederum auf alle Dateien zugreifen können.
das Doc- und Install-Verzeichnis sollte sowieso gelöscht werden.
im Images-Verzeichnis braucht man nur Zugriff auf Bilder.
im Lib-Verzeichnis muss man einige Ausnahmen definieren (css, js, bilder und einige spezielle php Dateien - aber sonst nichts).
das selbe gilt für das Modules-Verzeichnis.
im plugins-Verzeichnis braucht man eigentlich auch keinen direkten Zugriff (ich sage "eigentlich", weil das hängt mitunter von dem ein oder anderen Plugin ab)
im tmp-Verzeichnis sollte man außer auf bilder, js und css ebenfalls keinerlei Zugriff haben.
Im Uploads-Verzeichnis muss man all diese Daten, die man von außen erreichen darf, erlauben.
(Oder man macht es umgekehrt und erlaubt den Zugriff generell und verbietet den Zugriff nur auf bestimmte Daten - wie es eigentlich auch der Standard ist. Ist mir persönlich aber zu unsicher.)

Wichtig ist außerdem auch, dass außer dem Uploads und dem tmp Verzeichnis keine Schreibberechtigungen von außen existieren (chmod 755 - höchstens).


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#12 02. Mai 2011 08:45

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Absicherung von CMS ms mit .htaccess-Datei

Richtig muss es so lauten

# BEGIN Optional settings 
# Turns off directory browsing 
# not absolutely essential, but keeps people from snooping around without 
# needing empty index.html files everywhere 
Options -Indexes 
# Deny access to config.php 
# This can be useful if php ever breaks or dies 
# Use with caution, this may break other functions of CMSms that use a config.php 
# file. This may also break other programs you have running under your CMSms 
# install that use config.php. You may need to add another .htaccess file to those 
# directories to specifically allow config.php. 
<Files "config.php">
order allow,deny
deny from all
</Files>
# No sense advertising what we are running 
ServerSignature Off 
# END Optional Settings

Offline

#13 02. Mai 2011 09:35

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.436

Re: Absicherung von CMS ms mit .htaccess-Datei

Ich bin da etwas paranoid wink
Es gibt nur eine handvoll Dateien, auf die der Zugriff erlaubt sein muss.
Alles andere verbiete ich einfach.
Falls ich damit zu restriktiv sein sollte, werde ich das früher oder später schon merken und kann es dann anpassen. Das ist mir lieber als wenn ich feststellen muss, dass man die ein oder andere Datei doch hätte sperren sollen ... dann ist es nämlich meistens schon zu spät. Und auf diese Erfahrung habe ich keine Lust.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#14 02. Mai 2011 09:37

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Absicherung von CMS ms mit .htaccess-Datei

Nee, ist schon ok ... mir ging es auch nur darum, keine falschen Infos über die .de-Seiten zu verbreiten wink.

Offline

#15 12. Februar 2012 12:33

Claus
hat von CMS/ms gehört
Registriert: 12. Februar 2012
Beiträge: 3

Re: Absicherung von CMS ms mit .htaccess-Datei

Dann seid doch so gut und passt die Seite "Absicherung einer CMSMS-Installation" an, oder noch besser überarbeitet das Ganze.

Ich bin Neuling bei CMSms und habe auch von Server-Konfiguration nicht wirklich Ahnung. Also bin ich treu und brav der Anleitung gefolgt. Aber um arbeiten zu können, muss ich die .htaccess-Dateien alle wieder rausschmeißen: Das Absichern des /lib-Ordners führt zum Fehler "The xajax-Javascript component could not be included". Außerdem meldet die Bildverwaltung Fehler 403. Und die .htaccess-Datei im /uploads-Verzeichnis führt ebenfalls zu Fehlern in der Bildverwaltung. (Mit einer nicht funktionierenden Bildbearbeitung könnte ich ja leben.)

Außerdem musste ich eine Weile suchen, bis ich die robots.txt im /doc-Verzeichnis gefunden habe und was ich mit dem Text unter "Absicherung gegen Spambots" anfangen soll, weiß ich nicht. Dies ist für einen Einsteiger alles ziemlich schwierig.

--
Claus

Beitrag geändert von Claus (12. Februar 2012 12:34)

Offline

#16 12. Februar 2012 14:35

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.436

Re: Absicherung von CMS ms mit .htaccess-Datei

Claus schrieb:

Dies ist für einen Einsteiger alles ziemlich schwierig.

Und daran wird sich nichts ändern, wenn man immer nur fertige Lösungen sucht, die man brav kopieren und einfügen kann. Ich muss mich da mal selbst zitieren:

@all:
Bitte nicht einfach nur blind kopieren und einfügen.
Versucht bitte zu verstehen was genau diese Einstellungen bedeuten.

Es gibt bezüglich der Absicherung nunmal leider keine Universal-Lösung.
Man muss das Prinzip begreifen, welches dahinter steckt.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#17 12. Februar 2012 14:48

Claus
hat von CMS/ms gehört
Registriert: 12. Februar 2012
Beiträge: 3

Re: Absicherung von CMS ms mit .htaccess-Datei

Mir geht es darum, dass die vorliegenden Anleitung dafür sorgt, dass das CMS nicht mehr funktioniert. Und warum es nicht möglich sein soll, diese Anleitung so zu schreiben, dass man ihr nur folgen muss, kann ich nicht nachvollziehen. Die Inhalte für die .htaccess-Datei im CMSms-Hauptverzeichnis mussen einfach nur korrigiert werden. Und was spricht dagegen mitzuteilen, in welchem Verzeichnis sich die robots.txt befindet?

--
Claus

Offline

#18 12. Februar 2012 15:07

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.436

Re: Absicherung von CMS ms mit .htaccess-Datei

Das ist keine Anleitung, sondern eine Problemstellung. Für die es leider keine eindeutige Lösung gibt. Meine Einstellungen der .htaccess Datei haben auf dem einen Server bestens funktioniert, bei dem anderen wieder nicht. Du siehst das Problem? Du kannst hier keine superduper abgesicherte .htaccess Datei erwarten, die Du einfach nur kopieren brauchst. Du musst das Prinzip verstehen. Und da habe ich mir doch recht viel Mühe gegeben, oder?

Finde heraus, welche Optionen Du in der .htaccess Datei setzen kannst, ohne, dass Deine Webseite nicht mehr funktioniert. Diese Arbeit kann Dir keiner abnehmen. Wie man das macht, habe ich erklärt.

Finde heraus, auf welche Dateien man Zugriff haben darf und auf welche nicht, und dann sperre/erlaube den Zugriff. Wie man das macht, habe ich erklärt.
(Dieser Punkt ist tatsächlich kompliziert. Man muss da nicht so restriktiv sein wie ich. Ich habe nur kein Problem damit, wenn die Seite nicht funktioniert. Dann finde ich einfach nur heraus warum - also auf welche Datei man evtl. doch noch zugreifen können muss - und ändere meine .htaccess Datei entsprechend ab)

Wenn irgendetwas nicht funktionert, dann finde heraus, warum. Wie man das macht, wurde in diesem Forum auch schon gefühlte eine Million mal erklärt. Tools wie z.B. Firebug helfen ungemein, wenn es darum geht, seine Webseite auf Fehler zu überprüfen. Dort kann man auch sehen, welche Zugriffe nicht funktionieren. Dann kann man ganz gezielt diese oder jene Fehlerquelle ausschließen.

Und was die robots.txt angeht, das hat mit der Absicherung zwar nur rudimentär zu tun, aber auch da habe ich beiläufig erwähnt, wo diese hingehört:

Zusammenfassend könnte man sagen:
im Root-Verzeichnis braucht man außer auf die index.php und die stylesheet.php (und evtl. robots.txt und was so für Suchmaschinen etc. gedacht ist und unbedingt im root liegen muss) generell keinen Zugriff.

Was da drin steht, hat aber mit Sicherheit überhaupt nichts zu tun.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#19 12. Februar 2012 15:51

Claus
hat von CMS/ms gehört
Registriert: 12. Februar 2012
Beiträge: 3

Re: Absicherung von CMS ms mit .htaccess-Datei

Moin NaN,

es geht nicht um das, was du in diesem Forum geschrieben hast, sondern um das was dort steht. Dort fängt der Anwender an, nachdem er die Installation durchgeführt hat. Ich finde es absolut lobenswert, dass sich jemand Gedanken gemacht hat und festgehalten hat, wie man sein System absichern kann. Viele Webseiten-Betreiber sind keine Netzwerk- und Sicherheitsexperten. Diese haben so die Chance ihr System abzuschotten. Es sollte nur halt so beschrieben sein, dass es geht. Oder man lässt es gleich nach und verweist aufs Forum. (Letzteres führt aber dazu, dass die Leute es nachlassen, vor allem wenn man als Antwort kriegt: Das geht sowieso nicht, außer du beschäftigst dich jetzt erst mal ein paar Tage mit Linux und htaccess.)

Claus

Offline

#20 12. Februar 2012 15:57

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.436

Re: Absicherung von CMS ms mit .htaccess-Datei

Okay, sorry. Dann hab ich das gerade falsch aufgefasst. Ja, diese Anleitung muss mal überarbeitet werden.

Ich hab in meiner Signatur mal die .htaccess Dateien, die ich meistens verwende. Vielleicht hilft es ja.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#21 27. November 2012 16:24

kampkrusty
Server-Pate
Registriert: 03. April 2011
Beiträge: 263

Re: Absicherung von CMS ms mit .htaccess-Datei

Wie ist denn der aktuelle Stand dieser Anleitung?

http://www.cmsmadesimple.de/cmsms-suppo … chern.html

Wurde die überarbeitet?


ff-jena-mitte.de

Offline

#22 28. November 2012 06:31

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Absicherung von CMS ms mit .htaccess-Datei

Warum fragst du? Siehst du da Bedarf?

Achtung - neue URL

http://www.cmsmadesimple.de/dokumentati … chern.html

Offline

#23 28. November 2012 12:52

kampkrusty
Server-Pate
Registriert: 03. April 2011
Beiträge: 263

Re: Absicherung von CMS ms mit .htaccess-Datei

NaN schrieb:

Hm... diese Anleitung erscheint mir fehlerhaft.

Daher meine Frage. smile


ff-jena-mitte.de

Offline

#24 28. November 2012 13:08

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.436

Re: Absicherung von CMS ms mit .htaccess-Datei

Diese Anleitung ist immer noch falsch.
Dieser Teil stimmt so nicht (fett markiert):

# BEGIN Optional settings
# Turns off directory browsing
# not absolutely essential, but keeps people from snooping around without
# needing empty index.html files everywhere
Options -Indexes
# Deny access to config.php
# This can be useful if php ever breaks or dies
# Use with caution, this may break other functions of CMSms that use a config.php
# file. This may also break other programs you have running under your CMSms
# install that use config.php. You may need to add another .htaccess file to those
# directories to specifically allow config.php.
order allow,deny
deny from all
# No sense advertising what we are running
ServerSignature Off
# END Optional Settings

Wer das so kopiert, wird keinerlei Zugriff auf irgendetwas haben, da die Regel "deny from all" in keinerlei Kontext steht und somit global auf alles wirkt (und nicht nur auf die config.php).
Richtig müsste es an dieser Stelle lauten:

# Deny access to config.php
<Files "config.php"> 
order deny,allow
deny from all 
</Files>

Oder man folgt einfach meiner Idee: Anstatt den Zugriff generell zu erlauben und nur auf bestimmte Dateien zu verbieten, verbietet man den Zugriff generell und erlaubt ihn nur in bestimmten Verzeichnissen auf bestimmte Datei-Typen bzw. in manchen Fällen explizit auf bestimmte Dateien. Das ist zwar etwas aufwendiger, aber meiner Meinung nach am sichersten.
(Siehe meine Beispiel-htaccess-Dateien in meiner Signatur)


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#25 28. November 2012 13:43

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Absicherung von CMS ms mit .htaccess-Datei

Danke für eure Hinweise.

Hab das Thema aus dem Fokus verloren - ist jetzt geändert.

Offline