AWSTATS 403 Forbidden

encendedor · Post by **encendedor** » Tue 7. May 2024, 22:42

Hallo,

ich verzweifle an dieser Sache langsam...

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
(kann man das denn wirklich sein

ich würde das selbst nicht so scharf formulieren

Server-Betriebssystem + Version
Debian 12

Eingesetzte Server-Virtualisierung-Technologie
keine

KeyHelp-Version + Build-Nummer
24.0 (Build 3220)

Problembeschreibung / Fehlermeldungen
Beim Aufruf von AWSTATS https://[serverurl]/webstats/[user]/[domain] (über das Dropdown-Feld in Keyhelp ausgewählt) bekomme ich nur 403 Forbidden.

Erwartetes Ergebnis
Statistik wird angezeigt

Tatsächliches Ergebnis
403 Forbidden

Schritte zur Reproduktion
Versuch über keyadmin mit Wechsel in Useroberfläche und direktem Login mit User gleiches Ergebnis.

Zusätzliche Informationen
/etc/apache2/keyhelp/keyhelp.conf

Code: Select all

Alias /webstats           "/home/keyhelp/www/keyhelp.webstats"

Code: Select all

  # Statistics
    <Directory "/home/keyhelp/www/keyhelp.webstats">
        Require all denied
        Options FollowSymLinks
        AllowOverride AuthConfig
    </Directory>

mit

Code: Select all

  # Statistics
    <Directory "/home/keyhelp/www/keyhelp.webstats">
        Require all granted
        Options FollowSymLinks
        AllowOverride AuthConfig
    </Directory>

und auskommentieren von

Code: Select all

Require all denied

in der jeweiligen .htaccess funktioniert es, dann ist AWSTATS aber logischerweise komplett offen.

Rechte und Besitzer in /home/keyhelp/www/keyhelp.webstats geprüft: Verzeichnisse 755, Dateien 644, Besitzer keyhelp.

tail /var/log/apache2/keyhelp/error.log

Code: Select all

[Tue May 07 22:20:23.970952 2024] [authz_core:error] [pid 751799:tid 140489636738752] [remote x.x.x.x:54756] AH01630: client denied by server configuration: /home/keyhelp/www/keyhelp.webstats/[user]/[domain]

Stehe ich wieder einmal auf der Leitung, habe ich was übersehen oder handelt es sich um einen Fehler? Laut meinem Verständnis ist ein 403er das erwartete Ergebnis von Require all denied. Aber warum wird das von Keyhelp so konfiguriert?
Danke euch!

Post by **Florian** » Wed 8. May 2024, 11:30

Hallo,

das "require all denied" wird ja normal von "require valid-user" in der .htaccess des jeweligen Webstats- Verzeichnis überschrieben. Daher funktioniert es mit Login.

Steht die Ziele in Deiner .htaccess drin?

encendedor · Post by **encendedor** » Wed 8. May 2024, 12:08

Danke für deine Antwort!
In allen .htaccess Dateien in /home/keyhelp/www/keyhelp.webstats steht

Code: Select all

Require all denied

Ich habe die Dateien aber nicht verändert, die sind automatisch so erstellt worden. Wenn ich die manuell korrigiere, werden sie vermutlich wieder überschrieben, richtig? Und neue User werden wieder falsch angelegt.

Edit:
mit

Code: Select all

Require valid-user

bekomme ich einen Error 500
Im /var/log/apache2/keyhelp/error.log steht

Code: Select all

[Wed May 08 12:09:55.909583 2024] [core:error] [pid 826408:tid 140485897221824] [remote x.x.x.x:59978] AH00027: No authentication done but request not allowed without authentication for /webstats/xxx/xxxx.xx. Authentication not configured?

Post by **Florian** » Wed 8. May 2024, 12:49

Hallo,

so sieht die .htaccess aus:

Code: Select all

AuthUserFile /home/keyhelp/www/keyhelp.webstats/<user>/.htpasswd
AuthName "User Login"
AuthType Basic
require valid-user

encendedor · Post by **encendedor** » Wed 8. May 2024, 13:24

Das klingt logisch. Allerdings gibt's dann noch das nächste Problem: .htpasswd Dateien existieren gar nicht. Das scheint mir tatsächlich ein Bug zu sein. Hat sonst niemand das Problem oder nutzt ohnehin niemand Awstats?

Hab mir gerade eine neue Installation unter Ubuntu 22.04 angesehen, dort verhält es sich gleich. Trotz aktivierter AWStats Option auf der Konfigurationsseite gibt es keine .htpasswd Dateien und .htaccess enthält nur

Code: Select all

Require all denied

Wenn das bleibt und nicht nächtens von Keyhelp überschrieben wird, baue ich das auch selbst um. Trotzdem würde mich interessieren, warum das nicht richtig erstellt wird.

Post by **Florian** » Wed 8. May 2024, 13:58

Hallo,

ich habe das auf Debian 12 getestet. Dahe rhabe ich auch die .htaccess kopiert.

Hast du denn das Passwort im Keyhelp auch gesetzt für die Webstatistiken?

encendedor · Post by **encendedor** » Wed 8. May 2024, 14:03

Ich wusste, ich stehe auf der Leitung!! Danke.
Aber der Text hier

Klicken Sie auf die Schaltfläche, um die Webstatistik zu öffnen.
Sie werden aufgefordert, sich anzumelden, verwenden Sie dazu denselben Benutzernamen, mit dem Sie sich in diesem Control Panel anmelden.

hat mich in die Irre geführt. Ich bin bei "Benutzernamen" automatisch auch vom Passwort ausgegangen.

AWSTATS 403 Forbidden [GELÖST]

AWSTATS 403 Forbidden

Re: AWSTATS 403 Forbidden

Re: AWSTATS 403 Forbidden

Re: AWSTATS 403 Forbidden

Re: AWSTATS 403 Forbidden

Re: AWSTATS 403 Forbidden [GELÖST]

Re: AWSTATS 403 Forbidden