Deutsches Elektronen-Synchrotron DESY
Ein Forschungszentrum der Helmholtz-Gemeinschaft

IT

Zugriff einschränken

Persönliche Web-Seiten bei DESY sind grundsätzlich weltweit sichtbar. Sie können aber den Zugriff einschränken bzw. Dateien verstecken.

Die .htaccess-Datei

Die .htaccess-Datei kann von Ihnen persönlich angelegt werden und wird vom Web-Server innerhalb Ihres persönlichen www-Verzeichnisses und allen seinen Unterverzeichnissen auf Existenz und Inhalt geprüft.

Eine .htaccess-Datei wirkt nur auf die Sichtbarkeit der Web-Seiten, die in dem selben Verzeichnis stehen und auf alle dessen Unterverzeichnisse und deren Web-Seiten.

Fehler in der .haccess-Datei können zu ungewollten Zugriffen wie auch zu Fehlermeldungen seitens des Web-Servers führen.

Kommentarzeilen können in einer .htaccess-Datei durch das Zeichen # eingefügt werden.


Top

Zugriff von nicht DESY Rechnern verhindern

Soll das Zugriffrecht auf Web-Seiten für nicht DESY Rechner entzogen werden, muß Ihre .htaccess-Datei die folgenden Zeilen beinhalten:


Top

Zugriff nur für bestimmte Rechner erlauben

Soll der Zugriff auf Ihre Seiten nur von einem bestimmten Rechner aus möglich sein, so sieht eine entsprechende .htaccess-Datei wie folgt aus:


Top

Passwort-geschützte Seiten

Soll der Zugriff auf Ihre Seiten nur für bestimmte Personen (Accounts) möglich sein, so können Sie dies wie folgt für AFS-Accounts einrichten:

Bitte beachten Sie, daß so geschützte Seiten nur Zugriffe für URLs die mit https beginnen erlauben. http-Zugriffe, und somit unverschlüsselte Zugriffe, die Ihr AFS-Passwort unverschlüsselt (lesbar) über das Internet senden, werden abgewiesen.

Wenn Sie Web-Seiten nach obigen Verfahren schützen wollen, bedenken Sie bitte auch, daß Sie auf der Filesystem-Ebene im AFS Ihre Inhalte ebenfalls schützen müssen. Hierzu benötigen Sie die AFS-Kommandos fs listacl (auflisten der ACL-Rechte) und fs setacl (setzen der ACL-Rechte). Entziehen Sie mit fs setacl -dir dirctory_name -acl account_name none allen ungewollten Accounts die Zugriffsrechte. Dem Web-Server müssen Sie jedoch das Leserecht mittels des folgenden Kommandos einrichten fs setacl -dir direcotry_name -acl wwwzdv read, da Sie sonst eine Fehlermeldung beim Aufruf der Web-Seiten erhalten.


Top

Passwort-geschützte Seiten mit eigener Passwort-Datei

Wenn Sie Passwort-geschützte Seiten benötigen, aber keine AFS-Accounts verwenden können oder wollen, dann gehen Sie bitte wie im letzten Abschnitt vor ( Passwort-geschützte Seiten) und ergänzen lediglich Ihre .htacces-Datei mit der Zeile

AuthUserFile /afs/desy.de/user/a/account_name/www_etc/passwd

Wichtig: aus Sicherheitsgründen sollten Sie die Passwort-Datei nicht in Ihr Web-Verzeichnis bzw. nicht in Ihren Web-Verzeichnisbaum stellen, sondern in ein davon getrenntes Verzeichnis. Bitte schützen Sie dieses Verzeichnis, in dem Ihre Passwort-Datei steht, wie jenes, in dem die eigentlichen Web-Seiten stehen und setzen Sie bitte auch für dieses Verzeichnis die AFS-ACLs, wie es im obigen Abschnitt beschrieben ist.

Die Passwort-Datei können Sie entweder mittels des Programmes htpasswd (Hinweise zum Gebrauch erhalten Sie mit htpasswd -h) erzeugen oder, falls dieses Ihnen nicht zur Verfügung steht, händisch mit einem Editor erstellen. Die Passwort-Datei hat grundsätzlich folgendes Aussehen:

account1:passwort_von_account1
account2:passwort_von_account2
...
...
Für die händische Erstellung bzw. Pflege Ihrer Passwort-Datei können Sie entweder die Zeichenketten der verschlüsselten Passwörter mittels des Befehls openssl passwd "klar_text_passwort" erzeugen oder einen Web-Generator verwenden, welcher Ihnen zu einem beliebigen Account-Namen und zugehörigem Passwort einen entsprechenden Passwort-Dateieintrag generiert und ferner eine exemplarische .htaccess-Datei vorschlägt.


Top

Directory-Listings einschränken

Obwohl Sie immer in Ihrem persönlichen www-Verzeichnis und allen Unterverzeichnissen das Listen von Verzeichnisinhalten durch den Web-Server mittels der empfohlenen Startseiten (index.html, welcome.html) verhindern sollten (insbesondere für die Startseite Ihrer persönlichen Web-Seiten), kann es dennoch sinnvoll sein Verzeichnisinhalte auflisten zu lassen. - Verzeichnisinhalte erhalten Sie immer dann, wenn die URL nicht direkt auf eine vorhandene Datei zeigt bzw. der Web-Server diese nicht unterdrückt.

Wollen Sie in Verzeichnisauflistungen bestimmte Inhalte verstecken, d.h. sie werden nicht aufgelistet, so können Sie dies in Ihrer .htaccess-Datei wie folgt einrichten:

Bitte beachten Sie, daß so versteckte Dateien und Verzeichnisse nicht vor ungewollten Zugriffen geschützt sind. Sie können so aber das Erscheinungsbild Ihrer Verzeichnisauflistung steuern und zusätzlich vermeiden, daß z.B. Suchmaschinen bestimmte Inhalte finden und indizieren.


Top
Logo der Helmholtz Gemeinschaft

© 2020, Deutsches Elektronen-Synchrotron DESY