phpMyAdmin Start Seite mit Passwortschutz versehen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • phpMyAdmin Start Seite mit Passwortschutz versehen

    Hallöle,

    kann mir einer bei meinem Problem helfen??
    Ich würde gerne den Aufruf der phpMyAdmin Startseite eine "Login-Seite" vorschalten, so das ohne Eingabe kein Zugriff auf die Startseite möglich ist und somit der Zugriff gegen nicht authorisierte Personen gewährleistet werden kann.
    Wie setzte ich das am geschicktesten um.

    Danke im voraus

    Wombel
    Markus Schulz
    www.marbrilu.de

  • #2
    schlechte idee.

    besser ist:

    eine .htaccess datei einzubinden.

    das ist eine datei welche vom apache server (dein webserver)

    gelesen wird, und dem user um eine passworteingabe bittet.

    du bruachst also 2 dateien.

    eine

    .htaccess

    .htpasswd

    die htpasswd sollte z.B. im webverzeichnis /htaccess bei dir
    auf dem server liegen.
    und enthält immer einträge wie folgender:
    benutzernameasswort

    passwort ist verschlüsselt.

    die .htaccess liegt in dem verzeichnis, das du sichern moechtest.

    z.B. /phpMyAdmin/
    sie enthält z.B. folgendes:
    AuthName "Admininstratoren - phpMyAdmin"
    AuthType Basic
    AuthUserFile /pfad_auf_deinem_server/www.deinname.com/htaccess/.htpasswd
    require valid-user

    um genauere infos zu bekommen suche einfach mal im web.
    ich schaue spaeter nochmal ob ich eine leichte einführung finde.


    mfg pOo
    warte ich schlag mal nach ...

    Kommentar


    • #3
      .htaccess dient eigentlich dazu, die über die httpd.conf definierten globalen Parameter/Einstellungen zu übersteuern. Am häufigsten wird .htaccess in Verbindung mit der .htpasswd sicher zur Authentifizierung eingesetzt.

      Es könnten aber auch der Directory-Index oder AddType Parameter übersteuert werden. Alle in der .htaccess angegebenen Werte gelten für das Verzeichnis in dem es sich befindet und alle seine Unterverzeichnisse.

      Wenn ein Authentifizierungs .htaccess im Directory ...\htdocs\kau liegt sind automatisch seine Unterverzeichnisse wie ...\htdocs\kau\gummi mitgeschützt. Wird direkt ein File in ...\htdocs\kau\gummi aufgerufen wird für dieses die Authentifizierung verlangt.

      Beschreibung für WAMP

      1. Schritt - In httpd.conf setze den AllowOverride auf AuthConfig oder All


      Code:
      # This controls which options the .htaccess files in directories can
      # override. Can also be "All", or any combination of "Options", "FileInfo", 
      # "AuthConfig", and "Limit"
      #
          AllowOverride AuthConfig
      2. Schritt - Definition des .htaccess-Filenamen.

      Ich habe in diesem Sample den Namen auf ".htzugriff" gesetzt. Per Default lautet er .htaccess. Der "." vor dem Filenamen
      dient dazu das File unter Linux (Unix) im Filesystem auf auf hidden zu setzen. Das ist aber nicht alles:

      Es müssen Vorkehrungen getroffen werden, daß Controlfiles wie .htaccess oder .htpasswd nicht über den http Dienst ausgelesen werden können. Nun gut .htpasswd wird außerhalb der Webserver-Root gelegt, also ist kein direkter Zugriff darauf möglich. Was aber bei dem .htacces File, dieses muß ja in das zu schützende Verzeichnis gelegt werden?

      Im Control-File des Apache, der httpd.conf, wird im folgenden Abschnitt definiert wie der Apache mit .files umzugehen hat:

      Code:
      # The following lines prevent .htaccess files from being viewed by
      # Web clients.  Since .htaccess files often contain authorization
      # information, access is disallowed for security reasons.  Comment
      # these lines out if you want Web visitors to see the contents of
      # .htaccess files.  If you change the AccessFileName directive above,
      # be sure to make the corresponding changes here.
      #
      # Also, folks tend to use names such as .htpasswd for password
      # files, so this will protect those as well.
      #
      <Files ~ "^\.ht">
          Order allow,deny
          Deny from all
          Satisfy All
      </Files>
      Das bedeutet also, der direkte Zugriff .ht-files ist von Apache zu unterbinden, also kann nicht direkt darauf über http darauf zugegriffen.

      Ich schlage vor aus Gründen der Security einen ganz anderen Namen zu verwenden, denn Cracker, die u.U. in das System eindringen suchen nach htaccess Files. Ist aber nur ein schwacher Schutz, da man ja auch nach Inhalten suchen kann, aber besser als gar nichts ist es.

      Code:
      #
      # AccessFileName: The name of the file to look for in each directory
      # for access control information.
      #
      AccessFileName .htzugriff
      3. Schritt - Apache durchstarten, damit o.a. httpd.conf Parameter aktiv werden

      4. Schritt - Userid/Passwort- oder htpasswd-Datei anlegen

      Aus Gründen der Sicherheit ist dieses File außerhalb des WebRoot-Verzeichnisses abzulegen, damit dieses nicht über einen Browserzugriff kompromitiert werden kann. Benutzerkennung und Password werden durch ":" getrennt. Passwort kann auch verschlüsselt sein. Ich schlage als Speicherort und Namen c:\null.txt vor.

      Code:
      user:passwd
      hand:geheim
      5. Schritt - Erstellen des .htaccess-Files zu Authentifizierungsübersteuerung

      Fileinhalt von File: ".htzugriff"

      Code:
      AuthType Basic
      AuthUserFile c:/null.txt
      AuthName "special directory"
      Require valid-user
      Hier wird also Ort und Namen des Passwort-File definiert.

      6. Schritt - .htaccess-File in gewünschtes zu schützendes Directory ablegen

      7. Schritt - Testen. Ein File aus dem nun geschützen Direcory über Browser aufrufen. Nun müßte der Login-Prompt erscheinen.

      In der Zeit in der ich dies jetzt geschrieben habe ist ein .htaccess Schutz schon längst eingerichtet.

      Nach erfolgreicher Authentifizierung werden die Authentifizierungs-Informationen, UID und PWD, vom Browser bei jedem Request an den Server mitgesendet und dort gegen die htaccess geprüft.

      Sobald die Kombination UID/PWD nicht mehr mit htpasswd-Inhalten übereinstimmt, beispielsweise bei Wechsel in ein anderes htaccess geschütztes Directory mit einer anderen UID/PWD Kombination wird sofort wieder das Authentifizierungs-Fenster angezeigt, zu einer erneuten Authentifizierung.

      Wird Browser geschlossen und das htaccess geschütze Directory neu aufgerufen, erfolgt eine erneute Authentifizierungs-Aufforderung.

      SO UND NUN DIE BRÜCKE ZU PHP ...

      Erfolgte eine Authentifizierung über htaccess bzw htpasswd, wird solange der Browser nicht geschlossen wird über die PHP-Variable $PHP_AUTH_USER die UserID, über $PHP_AUTH_PW das Passwort dem PHP-Skript zur Verfügung gestellt.

      Auch könnte man das Userid/Passwort-File (htpasswd) über PHP-Mittel (Filesystemfunktionen) verändern, User hinzufügen, PWD ändern usf.

      h.a.n.d.

      Kommentar

      Lädt...
      X