"Lösung" für Zugriff von außen gefunden
Hallo, bislang hat mir der Zugriff von außen nicht gefallen, da man problemlos auf den public_html-Ordner der Schüler (und Lehrer) zugreifen konnte. Ich habe das jetzt für mich folgendermaßen geregelt: 1) Zugriff auf Admin- und Web-Oberfläche von außerhalb ist erlaubt. 2) Zugriff auf public_html von Schülern und Lehrern ist standardmäßig von außen nicht erlaubt. Innerhalb der Schule (LANs) ist es erlaubt. 3) Für bestimmte User (bzw. Lehrer) kann man auch den Zugriff auf public_html erlauben. Realisiert wird das in der Datei /etc/httpd/suse_public_html (siehe unten). Dort wird für die Schüler und Lehrer der Zugriff von außen ersteinmal gesperrt (u.a. muss man die default-Pfadangabe um ein "*" erweitern; außerdem wird für die "genehmigten" User, also auf deren public_html-Ordner auch von außen zugegriffen werden darf (als Bsp. habe ich den Lehrer "kroemer" genommen) noch ein weiterer Directory-Abschnitt erstellt- Achtung die Reihenfolge von Order deny,allow ist dabei wichtig. Nachdem man das Ganze editiert hat, erfolgt noch ein "rcapache restart" und es hat bei mir funktioniert. Inwieweit das (große) Sicherheitslücken öffnet weiß ich nicht; daher bitte keine Beschwerden, falls das jemand nachmachen möchte und der Rechner gecrackt wird. (Auch für evtl. Fehlfunktionen nach dem Editieren übernehme ich keine Verantwortung - für Verbesserungsvorschläge bzw. Fehlerhinweise bin ich natürlich dankbar.) Viele Grüße Dieter /etc/httpd/suse_pbulic_html (Anmerkung : das rs-schesslitz.de muss natürlich durch die jeweilige eigene domaine ersetzt werden.) ... <Directory /home/*/*/public_html> AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec <Limit GET POST OPTIONS PROPFIND> Order deny,allow Deny from all allow from rs-schesslitz.de </Limit> <LimitExcept GET POST OPTIONS PROPFIND> Order deny,allow Deny from all </LimitExcept> </Directory> <Directory /home/teachers/kroemer/public_html> AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec <Limit GET POST OPTIONS PROPFIND> Order allow,deny allow from all </Limit> <LimitExcept GET POST OPTIONS PROPFIND> Order deny,allow Deny from all </LimitExcept> </Directory>
Hallo Dieter, ich bin gerade dabei, die Änderungen für den Zugriff von Außen nach deiner Anleitung vorzunehmen. Nun wollte ich die Rechte so einstellen, dass die Schüler nur intern, die Lehrer aber auch extern auf ihr public_html-Verzeichnis zugreifen können. Wenn ich aber nach der Änderung rcapache restart angebe, erhalte ich die Fehlermeldung: Syntax error on line 23 of /etc/httpd/suse_public_html.conf: <Directory not allowed here Woran kann es liegen? Habe im folgenden die abgeänderte Datei angehängt. Kannst du sie mal überfliegen? Danke, Martin Datei /etc/httpd/suse_public_html.conf ================================================== <IfModule mod_userdir.c> # Note that the name of the user directory ("public_html") cannot easily be # changed here, since it is a compile time setting. The apache package # would have to be rebuilt. You could work around by deleting # /usr/sbin/suexec, but then all scripts from the directories would be # executed with the UID of the webserver. UserDir public_html </IfModule> <Directory /home/users/*/public_html> AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec <Limit GET POST OPTIONS PROPFIND> Order deny,allow Deny from all allow from rsg.do.nw.schule.de </Limit> <LimitExcept GET POST OPTIONS PROPFIND> Order deny,allow Deny from all </LimitExcept> <Directory /home/teachers/*/public_html> AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec <Limit GET POST OPTIONS PROPFIND> Order allow,deny allow from all </Limit> <LimitExcept GET POST OPTIONS PROPFIND> Order deny,allow Deny from all </LimitExcept> </Directory> ===================================================== ----- Original Message ----- From: "Dieter Kroemer" <kroe@rs-schesslitz.de> To: <slss@suse.com> Sent: Tuesday, November 02, 2004 1:00 AM Subject: [slss] "Lösung" für Zugriff von außen gefunden
Hallo,
bislang hat mir der Zugriff von außen nicht gefallen, da man problemlos auf den public_html-Ordner der Schüler (und Lehrer) zugreifen konnte.
Ich habe das jetzt für mich folgendermaßen geregelt:
1) Zugriff auf Admin- und Web-Oberfläche von außerhalb ist erlaubt.
2) Zugriff auf public_html von Schülern und Lehrern ist standardmäßig von außen nicht erlaubt. Innerhalb der Schule (LANs) ist es erlaubt.
3) Für bestimmte User (bzw. Lehrer) kann man auch den Zugriff auf public_html erlauben.
Realisiert wird das in der Datei /etc/httpd/suse_public_html (siehe unten). Dort wird für die Schüler und Lehrer der Zugriff von außen ersteinmal gesperrt (u.a. muss man die default-Pfadangabe um ein "*" erweitern; außerdem wird für die "genehmigten" User, also auf deren public_html-Ordner auch von außen zugegriffen werden darf (als Bsp. habe ich den Lehrer "kroemer" genommen) noch ein weiterer Directory-Abschnitt erstellt- Achtung die Reihenfolge von Order deny,allow ist dabei wichtig.
Nachdem man das Ganze editiert hat, erfolgt noch ein "rcapache restart" und es hat bei mir funktioniert. Inwieweit das (große) Sicherheitslücken öffnet weiß ich nicht; daher bitte keine Beschwerden, falls das jemand nachmachen möchte und der Rechner gecrackt wird. (Auch für evtl. Fehlfunktionen nach dem Editieren übernehme ich keine Verantwortung - für Verbesserungsvorschläge bzw. Fehlerhinweise bin ich natürlich dankbar.)
Viele Grüße Dieter
/etc/httpd/suse_pbulic_html (Anmerkung : das rs-schesslitz.de muss natürlich durch die jeweilige eigene domaine ersetzt werden.)
...
<Directory /home/*/*/public_html> AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec <Limit GET POST OPTIONS PROPFIND> Order deny,allow Deny from all allow from rs-schesslitz.de </Limit> <LimitExcept GET POST OPTIONS PROPFIND> Order deny,allow Deny from all </LimitExcept> </Directory>
<Directory /home/teachers/kroemer/public_html> AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec <Limit GET POST OPTIONS PROPFIND> Order allow,deny allow from all </Limit> <LimitExcept GET POST OPTIONS PROPFIND> Order deny,allow Deny from all </LimitExcept> </Directory>
-- Um die Liste abzubestellen, schicken Sie eine Mail an: slss-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: slss-help@suse.com
Martin Ross schrieb:
Syntax error on line 23 of /etc/httpd/suse_public_html.conf: <Directory not allowed here
...
</LimitExcept>
Du musst hier deinen ersten Directory-Abschnitt erst wieder schließen:, bevor mit einem neuen beginnst </Directory> Gruß Dieter
On Tuesday 02 November 2004 01:00, Dieter Kroemer wrote:
1) Zugriff auf Admin- und Web-Oberfläche von außerhalb ist erlaubt.
Erste Idee: Man könnte die Schüler- / Lehrerverzeichnisse auch über Authentifizierung schützen. Der Apache bietet dafür das Modul auth_ldap an. Dann sind die public_html-Seiten nur nach einer Authentifizierung für Mitglieder der Schule erreichbar. Zweite Idee: Evtl. besonders für Grundschulen - es gibt ein speziell für Schulen angepasstes CMS: http://siteatschool.sourceforge.net/ Wenn man dann die public_html Zugänge abschaltet und statt dessen dieses CMS nutzt, kann man von überall her "seine" Seiten administrieren (auch als Lehrer :) Hier fehlt allerdings noch die Anbindung an LDAP, d.h. es muss eine separate Nutzerverwaltung erfolgen. Lars -- SUSE LINUX AG, Maxfeldstrasse 5 Mail: Lars.Rupp@suse.de 90409 Nürnberg, Germany +49 (0) 911/740 53-193
participants (3)
-
Dieter Kroemer -
Lars Rupp -
Martin Ross