Wisst ihr wie es ausschaut wenn Tokio Hotel ein Konzert bei uns im Garten spielen? Nein?!
phpMyAdmin im Document Root mit .htaccess schützen
Aufgrund dessen das es bei phpMyAdmin immer wieder Sicherheitslücken gab habe ich heute das Verzeichnis bei mir auf dem Server mit .htaccess geschützt. Auch alle anderen Verzeichnisse unter /var/www können nur noch mit Passwort aufgerufen werden.
Somit ist es für Script Kiddys oder Bots nicht mehr möglich den Document Root zu betreten ohne einen richtigen Benutzernamen und ein Passwort eingegeben zu haben. Klar ist das hinter diesem .htaccess Schutz noch die normale Anmeldemaske mit Benutzernamen und Passworteingabe erscheinen, somit quasi ein doppelter Schutz vor Eindringlingen. Wie ich das gemacht habe will ich euch in meiner kurzen Anleitung mal zeigen, mein Server Betriebssystem ist Debian Etch 64Bit.
Zuerst mal müsst ihr eine .htaccess Datei im Verzeichnis
/var/www/phpmyadmin
anlegen. In diese Datei schreibt ihr dann folgendes.
AuthType Basic
AuthName "Passwortschutz"
require valid-user
AuthUserFile /var/www/phpmyadmin/.htpasswd
Unter AuthName kommt das rein was ihr gerne über dem Anmeldefenster stehen haben wollt, kann auch leer bleiben. Unter AuthUserFile müsst ihr den absoluten Pfad zu eurer .htpasswd eintragen (siehe unten), diese enthält euren Benutzernamen und das verschlüsselte Passwort.
Nun könnt ihr entweder im selben Verzeichnis die .htpasswd erstellen oder ihr legt diese woanders hin, denkt aber bitte daran auch anschließend den Link in der .htaccess anzupassen. Weil das Passwort in der .htpasswd verschlüsselt sein muss verweise ich mal auf PHP-Space.info.
Dort könnt ihr unter Angabe eures Benutzernamens und eures Passworts den Inhalt der .htpasswd erstellen lassen. Kopiert dann alles und fügt es in die zuvor angelegte .htpasswd ein und speichert diese ab. Als Beispiel würde das jetzt für unseren Benutzer Max und seinem generierten Passwort so aussehen.
Max:$1$REwsjDUi$04HEpKpAYYDnIj/wY7atn0
So, jetzt ist das Gröbste schon erledigt.
Nun müssen wir mal folgende Datei öffnen.
/etc/apache2/sites-available/default
Dort muss der Punkt AllowOverride None auf AllowOveride All geändert werden, allerdings nur für den DocumentRoot. Das ist nötig weil die URL mit AllowOverride None generell immer ausgegeben wird, somit würde unser .htaccess Schutz einfach umgangen werden. Bei AllowOverride All hingegen wird die URL nur ausgegeben wenn die Zugriffssteuerung unserer .htaccess Abfrage positiv war.
AllowOverride All
Ok, das wars schon, jetzt den Apachen nochmal neu starten.
/etc/init.d/apache2 restart
Wenn ihr jetzt alles richtig gemacht habt könnt ihr das Verzeichnis von phpMyAdmin nicht mehr ohne die .htaccess Passwort-Abfrage aufrufen.
Viel Spaß beim ausprobieren ;)
Als kleinen Tipp am Rande empfehle ich euch noch allen Verzeichnissen unter /var/www andere Namen zu geben, denn Bots scannen den kompletten DocumentRoot nach Ordnern ab die im Namen phpMyAdmin usw. enthalten.
Einbinden von Bildern verbieten
Wenn ihr verhindern wollt das Bilder von eurem Webspace auf anderen Seiten eingebunden werden, z.B. weil ihr nicht besonders viel Traffic frei habt, müsst ihr euch mal folgenden Code ansehen.
RewriteEngine on
Dieser Code muss als „.htaccess“ in den Ordner abgespeichert werden in dem eure Bilder liegen. Wenn ihr jetzt nicht nur verhindern wollt das die Bilder nicht angezeigt werden, sondern das auch noch eine alternatives Bild anstelle des geklauten Bildes angezeigt wird, dann müsst ihr in der Zeile „Rewrite Rule“ den Link zu diesem alternativen Bild anpassen. Das was unter „Rewrite Rule“ in Klammern steht „(gif|jpg|jpeg|bmp|png)“ sind die Dateiendungen die blockiert werden und für die das alternative Bild angezeigt wird.
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?domain.tld(/)?.*$ [NC]
RewriteRule .*\.(gif|jpg|jpeg|bmp|png)$ http://www.domain.tld/bild.jpe [R,NC]
Ich hatte dieses Script selbst 2 Jahre im Einsatz, es funktioniert auch bestens mit WordPress, dazu die „.htaccess“ unter „/wp-content/uploads“ hoch laden und schon werden die Bilder blockiert.
Warnung vom Bundesgesundheitsministerium
Das Bundesgesundheitsamt hat davor gewarnt Kondome ohne amtliche Prüfnummer zu benutzen, also aufpassen Leute! :)
Der Grund weswegen ich euch diesen Audio Schnipsel aus dem „MDR 1 Radio Sachsen“ nicht vorenthalten will ist aber ein anderer. Denn hier geht es eigentlich mehr um Norwegen, die haben Protest eingelegt. Warum und wieso hört euch doch einfach mal selbst an.
[audio:radio-norwegen_kondom.mp3]