Directory Listing deaktivieren? [GELÖST]

[Ralph]

Ich würde gerne Directory Listing per default deaktivieren und unsichtbar machen, ich möchte diese Funktion nur Kunden zur Verfügung stellen die damit umgehen können (eventl. globale Direktive setzen und bei Bedarf aktivieren lassen via Support Anfrage).
In den Account Templates habe ich dazu keine Option gefunden.
Wie könnte das am besten umgesetzt werden, auch für den Button bzw. den Directory Listing Part unten im Dashboard des Kunden ausblenden?

[24unix]

Die einfachste Lösung ist, eine leere index.html abzulegen.

[Ralph]

Es geht mir hier nicht ums meckern oder um eine persönliche Installation, KH hat tolle Features die bei einem dedicated Server oder VPS auch genutzt werden sollen.
Ich möchte (würde) jedoch gerne die kostenpflichtige Version für meine shared Hosts einsetzen und da möchte ich einige Dinge etwas einschränken. Bitte jetzt nicht nach dem "warum" fragen

[OlliTheDarkness]

Bitte jetzt nicht nach dem "warum" fragen

Warum ?

Weil man es kann

[Ralph]

Bitte jetzt nicht nach dem "warum" fragen

Warum ?

Weil man es kann

Stimmt, die CSS Area ... ich vergesse diese Funktion immer wieder wegen der guten Tarnung

[Ralph]

aber nützt auch nix ohne jede v-host conf vorher manuell anzupassen und autoindex deaktivieren macht vermutlich noch mehr Probleme ...
gut, da werd ich mir dann etwas anderes überlegen müssen

[OlliTheDarkness]

Mir kam da noch eine mögliche Idee.
Zwar ist diese nicht ganz das was du eingangs haben möchtest, aber zumindest eine Einschränkungsmöglichkeit.

Du könntest die verantwortlichen Twig Template Daten anpassen und die Bereiche welche "Ausblenden" willst, in deinem Fall die Box Directory Listing, für Benutzer entfernen aber für Admins (Also du als Admin ins Kundenkonto wechselst) die Box und Aktivieren bzw. Deaktivieren Funktion anzeigen zu lassen.

Vieleicht hilft dir ein Blick in meinen alten "Custom KH AdminDash" Thread um dir einige Möglichkeiten und Umsetzungen abzuschauen.

Bei Fragen auch gern fragen, aber verspreche dir nicht das ich die Antwort kenne
Is ne Weile her

[Ralph]

Mir kam da noch eine mögliche Idee.
Zwar ist diese nicht ganz das was du eingangs haben möchtest, aber zumindest eine Einschränkungsmöglichkeit.

Du könntest die verantwortlichen Twig Template Daten anpassen und die Bereiche welche "Ausblenden" willst, in deinem Fall die Box Directory Listing, für Benutzer entfernen aber für Admins (Also du als Admin ins Kundenkonto wechselst) die Box und Aktivieren bzw. Deaktivieren Funktion anzeigen zu lassen.

Vieleicht hilft dir ein Blick in meinen alten "Custom KH AdminDash" Thread um dir einige Möglichkeiten und Umsetzungen abzuschauen.

Bei Fragen auch gern fragen, aber verspreche dir nicht das ich die Antwort kenne
Is ne Weile her

Danke! Für die Panel Anpassungen ist das eine große Hilfe, werde ich mir in Ruhe anschauen.
Allerdings macht mir die Apache Config hier noch einen Strich durch die Rechnung ...
Ich habe in KH als globale Direktive gesetzt:

Code: Select all

<Directory /home/users>
  Options -Indexes
</Directory>

wird aber komplett ignoriert

und wenn ich als User jetzt eine .htaccess im Web anlege

Code: Select all

Options +Indexes

wird directory-listing ausgeführt, auch wenn im User Panel das Dir_Listing deaktiviert ist und im v-host ebenfalls, also auch wenn Options -Indexes im v-host drin steht kann der User das über die .htaccess außer Kraft setzen ...
Könnte das vieleicht etwas mit der SymLinksIfOwnerMatch configurations zu tun haben?

[OlliTheDarkness]

Mir kam da noch eine mögliche Idee.
Zwar ist diese nicht ganz das was du eingangs haben möchtest, aber zumindest eine Einschränkungsmöglichkeit.

Du könntest die verantwortlichen Twig Template Daten anpassen und die Bereiche welche "Ausblenden" willst, in deinem Fall die Box Directory Listing, für Benutzer entfernen aber für Admins (Also du als Admin ins Kundenkonto wechselst) die Box und Aktivieren bzw. Deaktivieren Funktion anzeigen zu lassen.

Vieleicht hilft dir ein Blick in meinen alten "Custom KH AdminDash" Thread um dir einige Möglichkeiten und Umsetzungen abzuschauen.

Bei Fragen auch gern fragen, aber verspreche dir nicht das ich die Antwort kenne
Is ne Weile her

Danke! Für die Panel Anpassungen ist das eine große Hilfe, werde ich mir in Ruhe anschauen.
Allerdings macht mir die Apache Config hier noch einen Strich durch die Rechnung ...
Ich habe in KH als globale Direktive gesetzt:

Code: Select all

<Directory /home/users>
  Options -Indexes
</Directory>

wird aber komplett ignoriert

und wenn ich als User jetzt eine .htaccess im Web anlege

Code: Select all

Options +Indexes

wird directory-listing ausgeführt, auch wenn im User Panel das Dir_Listing deaktiviert ist und im v-host ebenfalls, also auch wenn Options -Indexes im v-host drin steht kann der User das über die .htaccess außer Kraft setzen ...
Könnte das vieleicht etwas mit der SymLinksIfOwnerMatch configurations zu tun haben?

Eigendlich ist das nicht möglich, ausser die Reihenfolge der Verarbeitung ist fehlerhaft.
Die Userdatei also die .hta.... sollte ziemlich früh gelesen werden und ggf. übergeordnete Beschränkungen danach, um vom User gesetzte Optionen zu überschreiben.

Hast du auch lang genug Geduld gehabt bis die neuen Konfigs gegriffen haben ?
Die Eintragungen in den Apache Direktiven sollten eigendlich bestimmender sein als die in der .htac...

Du könntest deine Beschränkung mal hier einsetzen

Code: Select all

/etc/apache2/keyhelp/global_directives.conf

bzw. im Panel unter

Einstellungen >> Konfiguration >> Webserver >>  Globale Webserver-Direktiven 

Ggf. den Apachen und verantwortlichen PHP-FPM neu starten, kann nicht Schaden.

[Ralph]

hmm ...
habe mal eine neue Installation ohne zusätzliche Direktiven oder Modifikationen aufgesetzt (Standard).
Directory-Listing ist nicht aktiviert beim User (standard) im vhost habe ich nochmal geprüft -> Options -Indexes
Gut, wenn ich jetzt die index.html umbenenne zu 3.htm wird ein forbidden angezeigt so wie es sein soll ...
wenn ich aber eine .htaccess im Webfolder anlege mit Options +Indexes werden alle Dateien angezeigt obwohl der v-host -Indexes verwendet.
Apache Neustart oder System Reboot ändert leider nichts ... die Anweisung im v-host wird durch die User .htaccess außer Kraft gesetzt

[24unix]

die Anweisung im v-host wird durch die User .htaccess außer Kraft gesetzt

AlllowOverride ohne Option "Indexes" könnte helfen.

[Ralph]

die Anweisung im v-host wird durch die User .htaccess außer Kraft gesetzt

AlllowOverride ohne Option "Indexes" könnte helfen.

ja kurzfristig, es wird aber beim speichern einer Änderung oder bei einem Update wohl wieder überschrieben ...

[OlliTheDarkness]

Es bliebe natürlich noch die Möglichkeit die Geschichte Serverweit rauszuwerfen.

Dafür bedarf es nur autoindex.load und autoindex.conf aus dem /etc/apache2/mods-enabled Verzeichnis zu werfen.

(Vor dem Apache neustart prüfen ob nirgendwo mehr Options Indexes in den Configs hast weil sonst verweigert der Apache den Neustart, wenn es irgendwo in einer .htaccess noch steht is egal, dort wird es ignoriert)

Nachteil, es ist halt restlos deaktiviert und kann nicht "mal eben" für den User aktiviert für andere deaktiviert werden, es gibts nimmer also nutzt es keiner mehr.

Ausserdem sei angemerkt, dass ich nicht weiß ob das KH Panel es in irgendeinerweise brauch und es durchs entfernen zu einschränkungen kommen kann.

Auch is zu beachten das der Button im Panel dadurch auch nicht verschwindet ^^
Heißt, drückt jemand auf Aktivieren wird Options Indexes in die VHost geschrieben und der anschließende Apache Reload bzw. Neustart enden mit einem Error weil der Webserver wegen des fehlenden Modules nicht mehr hochfährt bis der Eintrag von Hand entfernt wurde.

Alles etwas Suboptimal.

Würde es an deiner Stelle echt mit der Template Variante machen, kann das wenigste schiefgehen.

[Ralph]

Dafür bedarf es nur autoindex.load und autoindex.conf aus dem /etc/apache2/mods-enabled Verzeichnis zu werfen.
Ausserdem sei angemerkt, dass ich nicht weiß ob das KH Panel es in irgendeinerweise brauch und es durchs entfernen zu einschränkungen kommen kann.

Sehe ich ich auch so, autoindex deaktivieren könnte Probleme machen ...
Es ist etwas kritisch das die v-host settings hier außer Kraft gesetzt werden können wenn diese expilzit auf -Indexes eingestellt sind.
Der User kann sich nicht auf die v-host Einstellung verlassen, löchrige CMS machen mir hierbei Sorgen, da müßte nur ein Download einer manipulierten .htaccess ausgelöst werden und du hast Zugriff auf alles ... incl. Datenbank wenn die PW in der config lesbar sind.

[Tobi]

Es ist etwas kritisch das die v-host settings hier außer Kraft gesetzt werden können wenn diese expilzit auf -Indexes eingestellt sind.
Der User kann sich nicht auf die v-host Einstellung verlassen, löchrige CMS machen mir hierbei Sorgen,

Nein, das ist nicht kritisch, da die Option "+Indexes" systemweiter Standard ist und vom User bereits jetzt schon jederzeit aktiviert werden kann.

da müßte nur ein Download einer manipulierten .htaccess ausgelöst werden und du hast Zugriff auf alles ... incl. Datenbank wenn die PW lesbar sind.

Du meinst sicherlich einen Upload.
Passwörter sind immer im Klartext in irgendeinem Config File. Das ist Standard.
Aber nur weil das Listing aktiviert ist, ist PHP nicht außer Funktion. Wenn also das Passwort, wie üblich, in einer PHP Datei steht, dann wird diese Datei auch nicht im Quelltext angezeigt, sondern wird nach wie vor durch den PHP Interpreter geschickt.

==================================

Ich verschiebe jetzt den Thread nach "Fehler / Probleme" und Alex wird sich der Sache annehmen.