htaccess_ip

Webserver Verzeichnisse mit IP-Sperre und Password schützen

Oftmals kommt es beim Umsetzen einer Webseite oder eines Portals dazu, dass man eigentlich die Seite oder einen neuen Teil, an dem man arbeitet, online nehmen möchte. Vor allem damit Kollegen oder Kunden sich die Seite anschauen können. Oder man möchte einen Teil der Seite, beispielsweise eine Seite für das Tracking oder zum Abrufen bestimmter Informationen so schützen, dass nicht alle User darauf zugreifen können. Ein Ansatz hierfür ist eine IP-Sperre.

Genau hierfür gibt es auf entsprechenden Servern die Möglichkeit eine .htaccess im entsprechenden Ordner des Webserver zu integrieren. Diese Datei steuert dann die Zugriffsberechtigung der Dateien in diesem Verzeichnis.

Ein Einfaches Beispiel:
AuthName "Under Development"
AuthType basic
Order deny,allow
Deny from all
Allow from 192.168.*
Allow from 144.144.144.*
Allow from .pc.meiner.de

Mit diesem Beispiel wird zunächst der Zugriff aller IP-Adressen sichergestellt. Anschließend werden alle Zugriffe aus dem Netzwerk 192.168.* zugelassen. Dies ist lediglich ein fiktives Beispiel. Das Sternchen hinter 192.168. steht dafür das hier alle weiteren Einträge erlaubt werden. Als Beispiel würde 192.* alle IP-Adressen die mit 192 beginnen zulassen. Es können aber auch ganze IP-Adressen zugelassen oder gesperrt werden. beispielsweise durch Allow 192.168.1.100. Hier ist nun ausschließlich diese IP-Adresse erlaubt.

Die Seite http://www.htaccesstools.com/ bietet unterschiedliche Möglichkeiten den Inhalt einer solchen Datei zu erstellen.

Ebenso ist es möglich ein Verzeichnis durch ein Passwort zu schützen. Hierfür muss in der .htaccess eine .htpasswd vermerkt werden. In der .htpasswd stehen dann die entsprechenden Zugänge. Durch eine geschickte Mischung von IP-Sperren und Zugängen ist es dann möglich ein Verzeichnis durch den Zugriff von außen mit einem Login zu schützen, aber gleichzeitig einen internen Zugriff auch ohne Anmeldung zu erlauben. Eine solche Datei unter Windows zu erzeugen ist nicht ohne da Dateien nicht einfach nur .htaccess genannt werden dürfen. Hierfür gibt es aber eine einfache Lösung http://www.htaccesstools.com/htaccess-faq/

Der Inhalt kann über http://www.htaccesstools.com/htaccess-authentication/ erzeugt werden

verzeichnis_schutz1

 

 

 

 

 

 

 

Hier erhält man nun direkt den Code für die .htaccess Datei

AuthType Basic
AuthName "Mein Verzeichnis"
AuthUserFile mein-server/webseite/tracking/geheim/.htpasswd
Require valid-user

Die Datei für die Login-Daten sollte nun unter dem entsprechenden Pfad, wie angegeben, abgelegt werden. (Achtung: Teilweise muss hierzu der absolute Datei-Pfad verwendet werden. Bei Domainfactory mit kunden/kundenummer/…).

Nun wird noch der Inhalt der Passwort-Datei benötigt:

verzeichnis_schutz2

 

 

 

 

 

 

 

 

 

Benutzername: Login

Passwort: Passwort

Hier erhält man nun den entsprechenden Login für die .htpasswd Datei

Beispiel:
Login:$apr1$AJEXUc2M$syBvNgyJzOtrlzxRBHx4M.

Das Passwort ist dabei direkt verschlüsselt und wird auch so in die Datei übernommen.

Diese beiden Dateien sollten anschließend im entsprechenden Verzeichnis abgelegt werden. Wenn man etwas mehr Aufwand betreibt kann man auch eine .htaccess Datei für einen Server verwenden, indem man dort einzelne Regeln für die einzelnen Verzeichnisse integriert. Hierzu gibt es Beispielsweise die Möglichkeit der Unterscheidung durch einen Oder-Befehl. Man lässt unterschiedliche IP-Adressen zu und schützt gleichzeitig mit einem Passwort. Somit gibt es zwei Regeln die zu befolgen sind. Durch ein Satisfy kann zwischen all, any, … unterschieden werden, welche bzw. wie viele der Regeln zu befolgen sind. Beispiele hierzu gibt es unter http://top-frog.com/2009/07/10/simple-but-handy-htaccess-tricks/ Die Datei in diesem Beispiel würde man nun direkt im gewünschten Verzeichnis ablegen.

Ruft man dieses Verzeichnis nun auf, erhält man direkt ein Login Fenster in welches man nun den Benutzernamen und das Passwort eintragen und abschicken kann. Hat man die Daten korrekt eingegeben wird man auf den Inhalt weitergeleitet. Waren diese falsch erhält man eine Error 500 Seite.

So kann man Daten mit einfachen Mitteln sehr gut vor einem ungewünschten Zugriff von außen schützen.

Mehr Informationen hierzu gibt es unter: https://wiki.selfhtml.org/wiki/Webserver/htaccess

Weitere Informationen und Erklärungen http://www.webdesign-in.de/mts/website-vor-unliebsamen-besuchern-schuetzen-mittels-htaccess/

0