Beveiliging http access`

[quick_snack]

Hoi allemaal,
Op dit moment heb ik een Ubuntu server draaiend met daarop apache2, mysql, php, postfix e.d. Daar bovenop nog een keer Joomla! Mijn mysql beheer ik met phpmyadmin. Nu het volgende:

Ik wil http (poort 80) access van het internet naar mijn server toe open zetten om uiteindelijk de joomla-site voor internet beschikbaar te maken. Op dit moment wordt poort 25 al gebruikt voor het versturen en ontvangen van de mail.

Hoe voorkom ik nu dat men vanuit het internet geen beschikking krijgt over phpmyadmin en eventuele andere applicaties? Ik heb gelezen dat dit kan met een .htaccess in de directory maar in de documentatie van apache2 lees ik dat dit niet meer wordt geadviseerd. Ook maak ik gebruik van squirrelmail voor webtoegang van de mail maar ik wil dit kunnen controleren. In eerste instantie gebruik vanaf internet blokkeren, eventueel later toestaan. Ook hier geldt dat ik niet erachter kom hoe je dit kan regelen.

Ik heb al wat zitten grasduinen in de directories van php maar kan nog niet iets vinden wat mij verder kan helpen.

edit: tiepfoudjes

[wr19026]

Kijk hier eens, waarschijnlijk kan je hier wel wat leuke ideeën opdoen.

http://httpd.apache.org/docs/1.3/howto/auth.html

[quick_snack]

Dit heb ik ook gelezen maar het gaat in mijn geval om een totale blokkade vanaf het internet die niet user afhankelijk is. Ik zal iig de link nogmaals doorspitten, mss kom ik nu wat verder.

[wr19026]

Dit heb ik ook gelezen maar het gaat in mijn geval om een totale blokkade vanaf het internet die niet user afhankelijk is. Ik zal iig de link nogmaals doorspitten, mss kom ik nu wat verder.

Totale blokkade? Dan heb je het volgens mij over het volledig dichtzetten van port 80 (of geen NAT translation voor port 80 doen in je router).

Maar misschien dat je hier ook nog wat ideetjes op kan doen.

http://www.howtoforge.com/taxonomy_menu/1/3

[Tukcedo]

Op zich kun je wat er in .htaccess bestanden staan OOK zetten in httpd.conf of hoe je Apache configuratiebestand ook heet. Persoonlijk vind ik dat prettiger omdat ik dan de hele configuratie in 1 keer te pakken heb i.p.v. tig directories te moeten doorspitten.

Als je in httpd.conf bijv. opgeeft dat-ie alleen mag luisteren op het interne of localhost adres, dan kan het nooit internet op gaan:

Listen localhost:80
Listen 192.168.0.2:80

Maar een firewall rule-tje ervoor waarin je alle verkeer op port 80 blokkeert is natuurlijk dubbel veilig.

[jgoor]

Je zou in /var/www een subdir kunnen maken 'secure'.
Hier verplaats je je webapps naartoe.
In /var/www/secure zet je de .htaccess (en de .htpasswd).

Let op dat jouw username en password die je in moet typen dan wel in cleartext over de lijn gaat, ofwel: makkelijk te sniffen.

Iets veiliger is bijvoorbeeld een setting te gebruiken om e.e.a. encrypted te laten verlopen (MD5 password). Gewoon ff in de documentatie kijken van apache.

Nog mooier is om uitsluitend het login procesje via https te laten verlopen, om vervolgens (wanneer je jouw uid en pwd hebt ingeklopt en geautoriseerd bent) terug te vallen naar http. Dan is de login sessie volledig secure gebeurd.

Dat laatste wil ik ook nog doen maar heb er nog geen ervaring mee. Dan moet je nl. iets met mod_rewrite gaat doen en dat is 'rocket science'.

[quick_snack]

Bedankt voor alle reacties hierboven maar zoals ik aangaf in mijn eerste post wil ik wel joomla! beschiklbaar maken naar internet maar niet phpmyadmin og squirrelmail. Verbindingen die duw wel toegestaan zijn hoeven niet te worden geauthoriseerd.

Bijvoorbeeld: na het openzetten van poort 80 moet www.domein.nl/joomla! wel beschikbaar zijn maar www.domein.nl/phpmyadmin of www.domein.nl/squirrelmail niet.

Phpmyadmin hoeft nimmer vanaf internet te worden opgestart maar squirrelmail wil ik na verloop van tijd wel benaderbaar maken.

Nu lees ik in de documentatie van apache:

Code: [Selecteer]

However, in general, use of .htaccess files should be avoided when possible.
Any configuration that you would consider putting in a .htaccess file, can just as effectively
be made in a section in your main server configuration file.Ik neem aan dat hier de httpd.conf mee wordt bedoeld?

[jgoor]

Niet door laten afschikken: ze adviseren gebruik te maken van de httpd.conf.
Voor kleine tot medium sites is een .htaccess file geen enkel probleem en ik denk zelfs dar het merendeel van de sites gewoon zo werkt.
Het voordeel is dat een wijziging in zo'n file direct merkbaar is: deze wordt nl gelezen op het moment dat je die directory benaderd. De httpd.conf wordt eenmaal gelezen en daarna niet meer tenzij je de apache daemon herstart.
Beide methoden hebben voordelen en nadelen. Performance is doorgaans het belangrijkste issue, maar wees wel: zit jij op die ene milliseconde per authorsisatie te wachten (inlezen .htaccess)?

[jgoor]

Het is al eens eerder genoemd - maar nog maar ens omdat dit is wat jij wilt :-)
http://httpd.apache.org/docs/1.3/howto/auth.html#allowdeny

In de webroot een .htacces met daarin een 'deny all'
vervolgens in de joomla directory een .htacces met 'allow '
Deze laatste .htacces overrules / complementeert de eerder genoemde .htaccess.

(voor exacte syntax graag TFM lezen)