.htacces en SELinux

B

BiG_G

Op verzoek van KK, een appart draadje.

Ik heb op verschillende forums gelezen dat .htacces en SELinux elkaar bijten. KK zegt liever geen .htacces te gebruiken. Ik ben zo nieuwsgierig als ik ben, daar natuurlijk heel nieuwsgierig over.
SELinux is een beveiligingsmethode die gebruik maakt van verschillende beveiligings facetten. Ik zelf gebruik het toevallig niet, maar werd me wel gevraagd toen ik dus problemen had.

Het was me ook opgevallen dat Apache2 in elke documentroot zo'n bestand neer plept. Heb je dus verschillende virtual servers, dan moeten je globale instellingen daar wel van op de hoogte zijn.

G
 
Ik ben er ook wel nieuwsgierig naar. Zoals in die andere thread aangegeven heb ik vroeger geleerd dat het wachtwoord niet encrypted is maar md5 encrypted.
Er zijn meer encryptiemethodes, bijv. Blowfish dacht ik, maar voor zover ik weet is htaccess md5 encrypted.
Tot nu toe, als je het een beetje beschermd door ze niet word readable te maken en .htpasswd te zetten zodat ze ook nog onzichtbaar zijn, is bij mijn weten het .htpasswd niet uit te lezen.

En zelfs al is dat het geval, ken ik persoonlijk nog geen methode om md5 te decrypten, als het echt md5 is inderdaad.

Maar dat wil niet zeggen dat dit ook zo is en zo'n decryptie programma er inmiddels wel is, de techniek staat niet stil.
Dus ik ben er ook nieuwsgierig naar, met name hoe je dan bijv. die .htacces zou kunnen omzeilen.
 
Wat ik persoonlijk erg leuk vind van en / de-cryptie is bv GPG / PGP.

Je kan bv kiezen wat voor sleutel groote je maakt:
512 (standaard geloof ik) is niet te kraken.
1024 (optie) is helemaal niet te kraken...
2048 (optie 2) tja....

Maar dit is denk ik een discussie voor een andere keer...

G
 
Dus ik ben er ook nieuwsgierig naar, met name hoe je dan bijv. die .htacces zou kunnen omzeilen.
Klik om te vergroten...
Het omzeilen door het niet te gebruiken kan door het met PHP op te lossen. Als je de .htaccess gebruikt, kom je bij 'geen toegang' op een pagina die dat aangeeft. Je kan daarvoor eigen pagina's bouwen, maar het blijft naar die pagina gaan. Met PHP kan je er ook voor kiezen de gebruiker automatisch naar een andere pagina door te sturen. Bijvoorbeeld met een pagina die zoiets zegt als: "Op cancel drukken helpt niet, wrijven ook niet..." die na 5 seconden verdwijnt. En dan door naar de pagina naar keuze. Of je spingt automatisch door naar een deel van de site die voor gasten (zonder account) bedoeld is. Zonder melding dat de inlog mislukt is.

De wachtwoorden dienen allereerst niet plane over het internet te gaan. Dus hoort zo'n inlog op een https pagina te staan. Vervolgens kan je op de server het ontvangen ww encrypten. Dat kan ook met PHP. Kies je eigen salt, en sla het ww op zonder de salt info (de 1e 2 karacters strippen). Die ww's kunnen in een file bijgehouden worden. Maar natuurlijk ook in een db. En zo'n db hoeft niet op de zelfde server te staan als de site.

En de ww's encrypted in een db op een server die alleen met de juiste id & ww vanaf de webserver te bevragen is, is nog mooier verstopt. Is de webserver gehacked, dan is er nog steeds niet direct toegang tot de db met de encrypted, zout-onbekende ww's.

En in de db is meer te koppelen/op te slaan. Zoals stats en gebruikte remote addressen. Of natuurlijk wanneer ww expired is (en al dan niet vernieuwd moet worden).
 
Wanneer je met YAST je ApAche2 configureert kan je volgens mij .htacces uit zetten.

Dus... gaat het verhaal zowiezo niet op (ik bedoel dan dat je met een normale site werkt die niet om paswoorden vraagt etc)

Zijn er binnen linux wysiwyg editors php? Ik wil best wel een beetje spelen als ik tijd heb ermee... maar ik heb geen zin om PHP te leren (als volwaardig programeur)
 
Originally posted by BiG_G
.htacces uit zetten.[...](ik bedoel dan dat je met een normale site werkt die niet om paswoorden vraagt etc)
Klik om te vergroten...
Je hebt geen .htaccess nodig om wachtwoorden te vragen.

G, als jij voor mij een wysiwyg shell/awk/sed-editor hebt, heb ik wysiwyg php-editor voor je! :lol:
 
Euh, zo'n wysiwyg editor voor php ken ik ook niet, ik moet het maar doen met editpad lite of notepad gewoon.:)

512 (standaard geloof ik) is niet te kraken.
Klik om te vergroten...
Jawel hoor, daarom is die encryptie in de states ook niet verboden, vanaf de 1024 wel.:)
Maar je zal er wel behoorlijk wat tijd aan kwijt zijn inderdaad.

@KK: Ik zie het verschil eigenlijk nog niet goed. Als je wachtwoorden met php maakt etc. Moet je dan ook niet met https werken? Als ik bijv. naar de boardsoftware kijk. Hierin is er ook sprake van php en een mysql database. In die database staan de gebruikersnamen plain en de wachtwoorden zijn md5 encrypted.
Edoch als men gaat inloggen, gaat dat gewoon met http en stuurt men ook de ww plain over het net, gelijk als bij een .htaccess inlog. Dus misschien begrijp ik het nog niet helemaal, maar ik zie nog niet goed waarom dit dan veiliger zou zijn.
En volgens mij is die pagina waar je op terecht komt als je htaccess fout ingeeft inderdaad standaard, maar als je dat goed configureert in Apache, kun je ook daar zelf een andere pagina voor maken zodat je bijv. die foutmelding niet krijgt, of naar zo'n "wrijf onder de neus" pagina verwezen word.

Wat ik dus nog altijd niet goed begrijp is het verschil in beveiliging tussen die twee.
 
Het gaat niet over veiliger, maar over dynamischer. Door PHP met MySQL te gebruiken ben je veel vrijer in het maken van de site. Ook bij gebruik van passwords. Kijkmaar hoe het werkt bij Duckfiles. Een mooi voorbeeld. Gooi de cookies weg en ga daarna naar http://www.duckfiles.org/forum/index.php?topic=26496 toe. Kom je er niet in. Voer je je naam en ww in, kom je alsnog op die plek, zonder de url opnieuw te hoeven inkloppen/aanklikken.

En inderdaad, ook bij Duckfiles vliegen de namen en wachtwoorden plain het internet over, om door de server encrypted te worden. (Dus met een beetje gericht snuffelen bij ISP's, kom je vrij snel achter admin accounts van Duckfiles.)

@G: Je hebt geen .htaccess nodig om toegang te verlenen.
 
WAAR DIENT HET DAN VOOR?

Is het alleen om de gebruiker een beetje te pesten? (de administrator?) Dan is het ze prima gelukt...
 
@KK: Oooohhhh... nu snap ik op welke manier je het bedoeld, ja da's inderdaad wel dynamischer.
Overigens gaat het met die w8woorden niet alleen bij Duck zo, maar op elk forum wat ik ken.
Thuis geef je immers niets encrypted in. Maar het klopt wel inderdaad, het is handig dat je dan niet opnieuw de hele link moet ingeven, alhoewel dit bijv. wel bij een andere site het geval is, ik had een complete link naar een pagina, maar moest eerst ingelogt zijn, kwam op de hoofdpagina terecht, na het inloggen nog steeds de hoofdpagina, alleen weet ik nu niet meer welke site dat was. Misschien hebben ze dat speciaal zo gemaakt.

Maar bij de meeste forums gaat het inderdaad wel op de door jou genoemde manier.

@Big_G: het is een beveiliging eigenlijk, althans daar is het voor bedoeld, maar natuurlijk staat de techniek niet voor niets.
Er zit er ook eentje voor het adminpanel van Duck bijv. Als die er niet zou zijn, zou je meteen bij de inlog van het adminpanel komen. Nu moet je eerst de htaccess bruteforcen en als je daar langs bent kun je nog eens opnieuw beginnen met de login voor het adminpanel.

Maar er zijn dus meerdere manieren om dit te beveiligen. Wat dat betreft ben ik het wel met KK eens. Je zou dat ook met een paar goed beveiligde scripts kunnen doen en dan met php en mysql.
Na bijv. 5 pogingen het ip bannen en automatisch een mailtje laten sturen naar de admin met ip adres, zeg maar een soort logje van het aantal pogingen, gepoogde gebruikersnamen en het ip adres. Dat gaat met .htaccess voor zover ik weet niet lukken, met een php beveiligingsscript zou zoiets weer wel kunnen.

Ik weet in elk geval dat ik mailtjes krijg als iemand probeert het adminpanel in te gaan, maar then again.... het adminpanel is dan ook weer php met mysql.;)
 
Overigens gaat het met die w8woorden niet alleen bij Duck zo, maar op elk forum wat ik ken.
Klik om te vergroten...
Idd, zo werkt het bijna overal. En eventueel is het bannen en mailen eenvoudig bij te bouwen.

Verder is het automatisch naar de hoofdpagina gaan als je niet bent ingelogd eigenlijk het zelfde als naar de inlogpagina gaan op Duckfiles. Het is echter nog iets eenvoudiger, want je hoeft niet mee te geven (te onthouden) wat eigenlijk de gewenste pagina was, om na het inloggen alsnog naartoe te gaan.
 
Handig inderdaad.:)

Maar was ik correct in de aanname dat o.a. dit bannen en mailen niet te realiseren is met .htaccess of kan dit wel, maar is het een hoop meer werk?
 
Mmm, BT, nu zoek je de grenzen op van de automatisering: 'Alles kan, maar is het wenselijk?' :)

Neem maar aan dat het niet kan. Als je het toch mbv .htaccess wilt doen, betekent het dat je om de loggings heen moet gaan programmeren: De .htaccess doet verder niks, er komt alleen een melding in de logs. Die meldingen afvangen, met c progjes, of shell- en awkscripts ofzo. En dan filteren op de gewenste gegevens. En daar weer een ban mee laten plaatsen en een mailtje laten sturen...

Dat wordt wel wat ondoorzichting waar welke 'beveiligings'puisten ziten. Vooral voor de beheerder. Met mogelijke programmeerfouten. Dan liever een paar regeltjes met PHP inkloppen.
 
Ja daar heb je gelijk in, dan is het makkelijker om in de foutmeldingspagina een log met php te maken inderdaad. Anders begint het ook nog te veel op werken te lijken ook nog, buiten het feit dat ik sowieso niet goed ben met allerlei scriptjes en c proggen.:)
Thanks!
 
Je moet ingelogd zijn om te kunnen reageren. Log in | Registreer



Oliebollen Hosting Fun Oliebollen

SPECIALE SERVICE

  » Fun op Twitter
  » Fun op Facebook
  » Image hosting
  » Internet Radio

Advertenties

Terug
Bovenaan Onderaan