Apache/.htaccess: Zugriff verweigern mit Ausnahme eines bestimmten Verzeichnisses

Marcus Gräfe · 21. Mai 2017, 15:07

Ich möchte einen kompletten Webspace per .htaccess sperren, was ich so mache:

Quellcode

order deny,allow
deny from all

Nun möchte ich aber den Zugriff auf ein bestimmtes Unterverzeichnis zulassen. Dieses Verzeichnis heißt ".well-known".

Wenn ich das Hauptverzeichnis per Passwort absichere, so kann ich mit folgendem Code erreichen, dass für das Unterverzeichnis ".well-known" keine Passwortabfrage kommt:

Quellcode

AuthUserFile /var/www/vhosts/website/.htpasswd
AuthGroupFile /dev/null
AuthName "Login"
AuthType Basic
require valid-user
<Files .well-known>
Satisfy Any
allow from all
</Files>

Aber wie mache ich es, wenn ich keine Passwortabfrage möchte, sondern mit Ausnahme des genannten Verzeichnisses alles blocken möchte? Ich bin da nun schon seit ca. zwei Stunden dran, bisher hat nichts zum Erfolg geführt. Im Moment ist das mein Code, der aber auch fürs Unterverzeichnis zu einem 403-Fehler (Access Denied) führt:

Quellcode

order deny,allow
deny from all
<Files .well-known>
Satisfy Any
allow from all
</Files>

Ich habe es auch schon ohne das untere allow from all bzw. ohne Satisfy Any getestet. Ebenso habe ich Directory statt Files getestet.

Hat jemand eine Idee?

Mokki · 21. Mai 2017, 17:29

Hab das selbe Problem, hab es bisher auch immer mit dem Pw gelöst, wäre aber auch sehr an einer Lösung intressiert...

Lg Mokki

3daycliff · 21. Mai 2017, 18:16

/var/www/vhosts/website/.htaccess:

Quellcode

order deny,allow
deny from all

/var/www/vhosts/website/.well-known/.htaccess:

Quellcode

Allow from all

Sollte eigentlich funktionieren.
Ggf. prüfen, ob noch irgendwo eine Regel existiert, die den Zugriff auf Dateien/Verzeichne verbietet, die mit einem Punkt anfangen.

Marcus Gräfe · 21. Mai 2017, 20:25

@Mokki Ist auf jeden Fall ein Workaround, nur mit sinnloser Passwortabfrage.

@3daycliff Werde ich testen, ist aber in meinen Augen nicht perfekt, weil ich den Zugriff gerne unabhängig von der Existenz des Unterordners erlauben möchte. Sprich, ich möchte gar nicht, dass der .well-known-Ordner ständig existiert, sondern der soll nach Möglichkeit nur kurzzeitig automatisiert angelegt werden.

Es geht dabei übrigens um die Zertifikatsanforderung von Let's Encrypt.

3daycliff · 21. Mai 2017, 20:40

Die .htaccess-Datei könnte ja auch automatisiert angelegt werden. Alternativ /var/www/vhosts/website/.htaccess:

Quellcode

SetEnvIf Request_URI "/\.well-known/$" MyAllow
Order allow,deny
Allow from env=MyAllow

Marcus Gräfe · 21. Mai 2017, 20:49

Klappt leider auch nicht, erhalte nach wie vor bei beiden Verzeichnissen eine Forbidden-Fehlermeldung.

Das automatische Anlegen des Verzeichnisses macht das Let's-Encrypt-Programm, da habe ich also keine Möglichkeit, auch eine .htaccess anlegen zu lassen.

3daycliff · 21. Mai 2017, 22:12

In meiner Testumgebung funktioniert letzteres.
Entweder der Regex passt nicht oder eine andere Einstellung verbietet den Zugriff.

Wenn du alles auskommentierst hast du aber Zugriff, oder?
In der .conf-Datei vom Apache steht auch ein AllowOverride FileInfo bzw. AllowOverride All?

slice · 21. Mai 2017, 22:14

Ich hab das bei mir mit folgender Konfig gelöst:

Quellcode

Alias /.well-known/acme-challenge/ /usr/local/www/.well-known/acme-challenge/
<Directory "/usr/local/www/.well-known/acme-challenge/">
Require all granted
</Directory>

Ich finde .htaccess Dateien sollte man so gut es geht vermeiden.

Quellcode

# httpd.conf
# ...
# ...
Include ${CONFIG_FOLDER}/httpd-acme.conf
Include ${CONFIG_FOLDER}/vHosts/*.conf

Marcus Gräfe · 21. Mai 2017, 22:15

3daycliff schrieb:

Wenn du alles auskommentierst hast du aber Zugriff, oder?

Ja.

3daycliff schrieb:

In der .conf-Datei vom Apache steht auch ein

Prüfe ich, aber dürfte dann das ganz oben im 1. Post mit der Passwortabfrage und "Files" klappen?

EDIT:

slice schrieb:

Ich finde .htaccess Dateien sollte man so gut es geht vermeiden.

Aber für so eine Kleinigkeit extra in der Apache-Konfiguration was ändern...

Link · 23. Mai 2017, 11:15

Lösung: stackoverflow.com/a/17868278/6045659

Funktionierte bei mir.

Link :thumbup:

Marcus Gräfe · 23. Mai 2017, 20:13

@Link Danke, aber exakt das wurde doch in Post #3 schon vorgeschlagen. Und das ist für mich eine eher unschöne Lösung, weil ich den Unterordner eigentlich nicht anlegen möchte (der wird automatisiert bei Bedarf angelegt).

Thunderbolt · 24. Mai 2017, 13:45

Warum muss das Verzeichnis dynamisch angelegt werden? Der Certbot stört sich normalerweise nicht daran, wenn es schon existiert. Arbeitest du mit dem Webroot-Plugin?

Marcus Gräfe · 25. Mai 2017, 18:12

Muss nicht, wäre nur für die Perfektion besser, wenn es nur bei Bedarf angelegt wird.

Ich verwende das LE-Plugin von Plesk.

Marcus Gräfe · 16. Juli 2017, 17:01

Nach ewigem Rumprobieren habe ich es nun endlich geschafft. Der Tipp von @3daycliff war im Prinzip schon die Lösung, allerdings hatte ich eine Kleinigkeit übersehen.

3daycliff schrieb:

SetEnvIf Request_URI "/\.well-known/$" MyAllow

Durch das /$ am Ende funktionierte der Zugriff ausschließlich auf example.com/.well-known/, nicht auf example.com/.well-known und auch nicht auf example.com/.well-known/xyz

So geht's nun aber endlich:

Quellcode

SetEnvIf Request_URI "/\.well-known" MyAllow
Order allow,deny
Allow from env=MyAllow

Danke für eure Hilfe!

Apache/.htaccess: Zugriff verweigern mit Ausnahme eines bestimmten Verzeichnisses

Apache/.htaccess: Zugriff verweigern mit Ausnahme eines bestimmten Verzeichnisses

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

3daycliff schrieb:

3daycliff schrieb:

slice schrieb:

3daycliff schrieb:

Quellcode

Tags

Ähnliche Themen

6 Benutzer haben hier geschrieben