.htaccess

r0ger · 15-04-2004, 18:31

Ciao a tutti ragazzi,
Ho una macchina con Slackware 9.1 e un server web Apache ver.1.3.28

Vorrei usare .htaccess per rendere private alcune cartelle (e i suoi file interni) private, con un autentificazione tramite login e pwd.

Per realizzare ciò ho utilizzato la configurazione di .htaccess, ma devo aver sbagliato da qualche parte

visto che non mi funziona

Vi descrivo tutte le procedure che ho eseguito.

supponiamo di avere la cartella pubblica /home/utente/web e voglia render l'accesso autentificato la cartella (e tutti i suoi file) /home/untente/web/riservato ok?
entro dentro la cartella /home/utente/web/riservato e con un editor di testo mi edito il mio .htaccess nel seguente modo.

#specifico dove ce il file .htpasswd
AuthUserFile /home/utente/riservato/.htpasswd
#avviso ad Apache che il file per l'accesso dei gruppi non esiste.
AuthGroupFile /dev/null
#il nome dell'area
AuthName "Directory Protetta"
#uso il tipo di autentificazione basic
AuthType Basic
#garantisco l'accesso a tutti gli utenti che hanno username e password esatta
<Limit GET>
require valid-user
</Limit>
#proteggo l'intera directory con tutti i files in essa contenuti
<Files ~ ".+">
Order allow,deny
Deny from all
Satisfy All
</Files>

questo è il mio file .htaccess

adesso creo il file con user e password in questo modo:
htpasswd –c /home/utente/web/riservato/.htpasswd guest
dove -c specifica la creazione di un nuovo utente.
specifico il percorso dove voglio che venga creato .htpasswd
guest è il nome dell'utente che ho appena creato.

Fatto questo pensavo che ora il tutto avrebbe funzionato e invece............

NO!

Forse dipende dal file di configurazione di apache? httpd.conf?
il mio file di configurazione /etc/apache/httpd.conf è di default, come viene creato al momento dell'installazione, cmq vi pasto una parte, dove penso che forse ce l'inghippo

DocumentRoot "/home/utente/web
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory "/home/inverno/web">
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
Allow from all
</Directory>

Che ne pensate?
In attesa di una vostra risposta vi ringrazio anticipatamente.
Ciao.

l.golinelli · 15-04-2004, 20:29

Ci deve essere qualcosa che non va...

Cmq devi mettere AllowOverride All nel blocco della directory che deve usare il file .htaccess

r0ger · 16-04-2004, 14:21

Quote:

Originariamente inviato da l.golinelli
<Directory "/home/inverno/web">

Ci deve essere qualcosa che non va...

ops... mi è scappato un copy and paste errato

quella è la vera directory "public_html" del mio server

Allora secondo te la sintassi giusta dovrebbe essere questa?

DocumentRoot "/home/utente/web
<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>
<Directory "/home/utente/web">
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
Allow from all
</Directory>

giusto?
mi da questo errore:
403 Forbidden
You don't have permission to access /restricted/index.php on this server.

Perchè non mi fa la finestrella di login?
Mi sapreste scrivere la sintassi giusta da mettere nell'httpd.con?
Grazie

l.golinelli · 16-04-2004, 14:41

Via questo:

<Directory "/home/utente/web">
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
Allow from all
</Directory>

Il file htpasswd mettilo in /etc/apache

mykol · 16-04-2004, 16:16

E' da parecchio che non configuro APACHE, ma se ricordo bene, da qualche parte in httpd.conf dovrebbe esserci qualche istruzione che dice ad apache se usare o no i files per la password e l'user id di chi si connette ...

r0ger · 16-04-2004, 17:26

HO PROVATO A METTERE QUESTO:

DocumentRoot "/home/utente/web
<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>

E NIENTE!

ho provato a spostare .htpasswd in /etc/apache

E NIENTE!

che fare?

l.golinelli · 16-04-2004, 19:51

Quote:

Originariamente inviato da r0ger
HO PROVATO A METTERE QUESTO:

DocumentRoot "/home/utente/web
<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>

E NIENTE!

ho provato a spostare .htpasswd in /etc/apache

E NIENTE!

che fare?

httpd.conf va bene, posta .htaccess

r0ger · 16-04-2004, 20:12

Quote:

Originariamente inviato da l.golinelli
httpd.conf va bene, posta .htaccess

emm........ non vorrei fare polemica

ma.......lo già postato all'apertura del thread

supponiamo di avere la cartella pubblica /home/utente/web e voglia render l'accesso autentificato la cartella (e tutti i suoi file) /home/untente/web/riservato ok?
entro dentro la cartella /home/utente/web/riservato e con un editor di testo mi edito il mio .htaccess nel seguente modo.

#specifico dove ce il file .htpasswd
AuthUserFile /home/utente/riservato/.htpasswd
#avviso ad Apache che il file per l'accesso dei gruppi non esiste.
AuthGroupFile /dev/null
#il nome dell'area
AuthName "Directory Protetta"
#uso il tipo di autentificazione basic
AuthType Basic
#garantisco l'accesso a tutti gli utenti che hanno username e password esatta
<Limit GET>
require valid-user
</Limit>
#proteggo l'intera directory con tutti i files in essa contenuti
<Files ~ ".+">
Order allow,deny
Deny from all
Satisfy All
</Files>

questo è il mio file .htaccess

adesso creo il file con user e password in questo modo:
htpasswd –c /home/utente/web/riservato/.htpasswd guest
dove -c specifica la creazione di un nuovo utente.
specifico il percorso dove voglio che venga creato .htpasswd
guest è il nome dell'utente che ho appena creato.

l.golinelli · 17-04-2004, 11:01

Per provare cava questo:

<Files ~ ".+">
Order allow,deny
Deny from all
Satisfy All
</Files>

l.golinelli · 17-04-2004, 11:04

Guarda qui

Cmq a me va senza problemi, è strano...

http://213.174.164.130/phpmyadmin/

r0ger · 17-04-2004, 11:36

Quote:

Originariamente inviato da l.golinelli
Guarda qui

Cmq a me va senza problemi, è strano...

http://213.174.164.130/phpmyadmin/

Che guardo? dimmi come hai fatto casomai.
Poi quello è il login di phpmyadmin, funziona pure a me se è per questo, perchè tu pensi che funzioni con .htaccess quel login?

PiloZ · 17-04-2004, 12:29

Ciao, leggendo il post mi hai fatto venir voglia di smanettarci su anche a me

Mi funziona alla grande...

ecco i miei file di configurazione:

/etc/apace/access.conf

<Directory />
AuthUserFile /etc/apache/passwd
AuthGroupFile /dev/null
AuthName "PRIVATE SECTION"
AuthType Basic
<Limit GET PUT POST>
require valid-user
</Limit>
</Directory>

non ho creato alcun file .access.conf, forse non mi è servito perchè sto proteggendo tutta la root.

l.golinelli · 17-04-2004, 13:11

Quote:

Originariamente inviato da PiloZ
non ho creato alcun file .access.conf, forse non mi è servito perchè sto proteggendo tutta la root.

NO, perchè hai inserito tutto nel blocco Directory, molto meno flessile dell'uso del file .htaccess ma sostanzialmente equivalente.

r0ger · 17-04-2004, 13:24

non ho capito quale è stato il tuo procedimento.

tu hai configurato l'accesso alla cartella privata tramtie access.conf?
io sto lavorando solo con httpd.conf, ho anche il file access.conf ma è vuoto.
Ho provato a caricare nel mio access.conf, il config che mi hai postato, ma per l'ennesima volta non ha fatto niente.
Forse non mi è chiara bene la procedura........

Quote:

Originariamente inviato da l.golinelli
Cmq a me va senza problemi, è strano...

http://213.174.164.130/phpmyadmin/

LO FA ANCHE A ME GUARDA:
http://inverno.dyndns.info/phpMyAdmin-2.5.6

ma ho controllato e non c'è nessun file .htaccess in quella cartella.

r0ger · 17-04-2004, 14:16

Quote:

Originariamente inviato da l.golinelli
Per provare cava questo:

<Files ~ ".+">
Order allow,deny
Deny from all
Satisfy All
</Files>

Ti devo chiedere scusa... nella fretta e nella disperazione non avevo letto questo tuo reply

cmq ho dovuto impostare in httpd.conf il comando:
AllowOverride AuthConfig

ora funziona però....... quelle direttive non servivano per proteggere l'intera directory e tutti i files contenuti all'interno?

per precisare: è sicuro che nessuno possa entrare in quella cartella o estrapolare qualche file al suo interno bypassando l'autentificazione?

l.golinelli · 17-04-2004, 14:25

Quote:

Originariamente inviato da r0ger
non ho capito quale è stato il tuo procedimento.

tu hai configurato l'accesso alla cartella privata tramtie access.conf?
io sto lavorando solo con httpd.conf, ho anche il file access.conf ma è vuoto.
Ho provato a caricare nel mio access.conf, il config che mi hai postato, ma per l'ennesima volta non ha fatto niente.
Forse non mi è chiara bene la procedura........

access.conf e srm.conf NON si usano più
.htaccess è un'altra cosa

PER TUTTI E DUE:

http://a2.swlibero.org/a2206.html#almltitle2326

l.golinelli · 19-04-2004, 10:47

Quote:

Originariamente inviato da r0ger
per precisare: è sicuro che nessuno possa entrare in quella cartella o estrapolare qualche file al suo interno bypassando l'autentificazione?

La coppia utente/password viene passata in chiaro, con evidente pericolo di sniffing, eventualmente valuta l'uso del metodo Digest al posto di Basic

Se si ha accesso in locale alla macchina chiaramente si bypassa la procedura di sicurezza

Se hai bisogna di una reale sicurezza usa https

15-04-2004, 18:31	#1
r0ger Member Iscritto dal: Mar 2003 Città: ITALIA Messaggi: 70	.htaccess Ciao a tutti ragazzi, Ho una macchina con Slackware 9.1 e un server web Apache ver.1.3.28 Vorrei usare .htaccess per rendere private alcune cartelle (e i suoi file interni) private, con un autentificazione tramite login e pwd. Per realizzare ciò ho utilizzato la configurazione di .htaccess, ma devo aver sbagliato da qualche parte visto che non mi funziona Vi descrivo tutte le procedure che ho eseguito. supponiamo di avere la cartella pubblica /home/utente/web e voglia render l'accesso autentificato la cartella (e tutti i suoi file) /home/untente/web/riservato ok? entro dentro la cartella /home/utente/web/riservato e con un editor di testo mi edito il mio .htaccess nel seguente modo. #specifico dove ce il file .htpasswd AuthUserFile /home/utente/riservato/.htpasswd #avviso ad Apache che il file per l'accesso dei gruppi non esiste. AuthGroupFile /dev/null #il nome dell'area AuthName "Directory Protetta" #uso il tipo di autentificazione basic AuthType Basic #garantisco l'accesso a tutti gli utenti che hanno username e password esatta <Limit GET> require valid-user </Limit> #proteggo l'intera directory con tutti i files in essa contenuti <Files ~ ".+"> Order allow,deny Deny from all Satisfy All </Files> questo è il mio file .htaccess adesso creo il file con user e password in questo modo: htpasswd –c /home/utente/web/riservato/.htpasswd guest dove -c specifica la creazione di un nuovo utente. specifico il percorso dove voglio che venga creato .htpasswd guest è il nome dell'utente che ho appena creato. Fatto questo pensavo che ora il tutto avrebbe funzionato e invece............ NO! Forse dipende dal file di configurazione di apache? httpd.conf? il mio file di configurazione /etc/apache/httpd.conf è di default, come viene creato al momento dell'installazione, cmq vi pasto una parte, dove penso che forse ce l'inghippo DocumentRoot "/home/utente/web <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory "/home/inverno/web"> Options Indexes FollowSymLinks MultiViews AllowOverride All Order allow,deny Allow from all </Directory> Che ne pensate? In attesa di una vostra risposta vi ringrazio anticipatamente. Ciao.

17-04-2004, 12:29	#12
PiloZ Senior Member Iscritto dal: Dec 2001 Città: /dev/rotfl Messaggi: 7276	Ciao, leggendo il post mi hai fatto venir voglia di smanettarci su anche a me Mi funziona alla grande... ecco i miei file di configurazione: /etc/apace/access.conf <Directory /> AuthUserFile /etc/apache/passwd AuthGroupFile /dev/null AuthName "PRIVATE SECTION" AuthType Basic <Limit GET PUT POST> require valid-user </Limit> </Directory> non ho creato alcun file .access.conf, forse non mi è servito perchè sto proteggendo tutta la root. __________________ ....::::fluxbox è talmente veloce che quando digito startx, il WM aspetta che il server Xorg lo raggiunga - PiloZ::::...

15-04-2004, 20:29	#2
l.golinelli Senior Member Iscritto dal: Jan 2002 Città: Imola Messaggi: 1116	<Directory "/home/inverno/web"> Ci deve essere qualcosa che non va... Cmq devi mettere AllowOverride All nel blocco della directory che deve usare il file .htaccess

16-04-2004, 14:41	#4
l.golinelli Senior Member Iscritto dal: Jan 2002 Città: Imola Messaggi: 1116	Via questo: <Directory "/home/utente/web"> Options Indexes FollowSymLinks MultiViews AllowOverride All Order allow,deny Allow from all </Directory> Il file htpasswd mettilo in /etc/apache

16-04-2004, 16:16	#5
mykol Senior Member Iscritto dal: Jan 2001 Messaggi: 3363	E' da parecchio che non configuro APACHE, ma se ricordo bene, da qualche parte in httpd.conf dovrebbe esserci qualche istruzione che dice ad apache se usare o no i files per la password e l'user id di chi si connette ...

16-04-2004, 17:26	#6
r0ger Member Iscritto dal: Mar 2003 Città: ITALIA Messaggi: 70	HO PROVATO A METTERE QUESTO: DocumentRoot "/home/utente/web <Directory /> Options FollowSymLinks AllowOverride All </Directory> E NIENTE! ho provato a spostare .htpasswd in /etc/apache E NIENTE! che fare?

17-04-2004, 11:01	#9
l.golinelli Senior Member Iscritto dal: Jan 2002 Città: Imola Messaggi: 1116	Per provare cava questo: <Files ~ ".+"> Order allow,deny Deny from all Satisfy All </Files>

17-04-2004, 11:04	#10
l.golinelli Senior Member Iscritto dal: Jan 2002 Città: Imola Messaggi: 1116	Guarda qui Cmq a me va senza problemi, è strano... http://213.174.164.130/phpmyadmin/

Strumenti
Mostra una versione stampabile Invia questa pagina per email