KeyHelp Community

Hallo zusammen,

ich würde gerne phpMyAdmin und roundcube deaktiveren. Spricht irgendetwas dagegen, einfach eine htaccess Datei in die Verzeichnisse zu schieben?

Oder macht es vielleicht Sinn, die Verzeichnisse über eine Datei z.B. in /etc/apache2/conf-enabled (?) zu sperren, damit die htaccess Dateien nicht durch ein Keyhelp Update überschrieben werden?

Die .htaccess Datei dürfte nicht überschrieben werden beim Update. Auch von den Rechten her dürfte es aus meiner Sicht keine Sorgen geben.
Sollte also klappen.

Du könntest aber auch in den Panel-Einstellungen die Ziel-URL's für PMA und RC ändern und die URL's z.B. auf eine Domain oder die Panelstartseite zeigen lassen.

Grüße,

Bei einem Update von phpmyadmin / roundcube / künftig rainloop tausche ich die gesamten Verzeichnisse aus.
Eine .htaccess in den entsprechenden Verzeichnissen wäre somit weg.

Vielen Dank für eure Antworten.

Jolinar wrote:Du könntest aber auch in den Panel-Einstellungen die Ziel-URL's für PMA und RC ändern und die URL's z.B. auf eine Domain oder die Panelstartseite zeigen lassen.

Guter Tipp. Aber das ändert scheinbar nur den Link im Panel. Die Verzeichnisse sind weiterhin vorhanden und können aufgerufen werden.
Mir geht es darum, dass potentielle Angreifer daran gehindert werden, z.B. per PMA Brute Force Angriffe durchzuführen.

PMA und roundcube nutze ich nicht und je weniger Angriffsfläche, desto besser.

Alexander wrote: Bei einem Update von phpmyadmin / roundcube / künftig rainloop tausche ich die gesamten Verzeichnisse aus.
Eine .htaccess in den entsprechenden Verzeichnissen wäre somit weg.

Ok, dann müsste ich das mit einer anderen Config-Datei versuchen.

select name from me; wrote:Guter Tipp. Aber das ändert scheinbar nur den Link im Panel. Die Verzeichnisse sind weiterhin vorhanden und können aufgerufen werden.
Mir geht es darum, dass potentielle Angreifer daran gehindert werden, z.B. per PMA Brute Force Angriffe durchzuführen.

Das wird dann erst sauber zu handeln sein, wenn Keyhelp in modularer Form (Core + Anwendungen) verfügbar ist.
Bis dahin kannst du ja als Workaround die Brechstangenmethode nehmen und per cron z.B. einmal am Tag die Programmverzeichnisse von PMA und RC löschen. Dann wären die nach einem eventuellen KH-Update auch ziemlich schnell wieder weg.

Idee: Kannst du nicht n System-Cronjob dafür degradieren, der einmal täglich ausgeführt wird, mit einer Datei, nach den entsprechenden Verzeichnissen sucht und diese umbenennt?

nikko wrote:Idee: Kannst du nicht n System-Cronjob dafür degradieren, der einmal täglich ausgeführt wird, mit einer Datei, nach den entsprechenden Verzeichnissen sucht und diese umbenennt?

Ätsch, ich war schneller
Aber beim Umbennen hättest du nach einem Update das Problem, daß die Originalverzeichnisse wieder da wären und eine Umbennenung fehlschlägt, weil die umbenannten Verzeichnisse ja auch schon vorhanden sind.

Jolinar wrote:Aber beim Umbennen hättest du nach einem Update das Problem, daß die Originalverzeichnisse wieder da wären und eine Umbennenung fehlschlägt, weil die umbenannten Verzeichnisse ja auch schon vorhanden sind.

Das ist natürlich Quatsch, ich hab mal wieder zu sehr in Windows gedacht
mv -f und schon überschreibt er ohne Rückfrage.

Sofern du dich noch nicht für eine Variante entschieden hast:

Ich könnte dir eine Checkbox hinzufügen, für Webmail und phpMyAdmin, "aktiviert? - ja/nein" und je nachdem eine .htaccess in die Verzeichnisse legen, die den Zugriff blockiert -> wäre dann somit auch update-sicher und man könnte es bei Bedarf wieder schnell aktivieren. Sofern an dieser Variante Interesse besteht, einfach Bescheid geben.

Alexander wrote: Sofern an dieser Variante Interesse besteht, einfach Bescheid geben.

Ja, bitte!

Alexander wrote:Ich könnte dir eine Checkbox hinzufügen, für Webmail und phpMyAdmin, "aktiviert? - ja/nein" und je nachdem eine .htaccess in die Verzeichnisse legen, die den Zugriff blockiert

Könnte man diese Checkbox noch bitte um zwei Eingabefelder für Username und Passwort erweitern?
So könnte ich roundcube abschalten (kein User, kein Passwort) aber mein phpMyAdmin mit einem .htaccess Passwortschutz versehen.
Weil das phpMyAdmin würde ich schon gerne nutzen wollen. Aber eben "nicht so für alle offen" wie aktuell.

Das wäre suuuuuuuuuuuuper!
Danke!

Hallo zusammen.

@Jolinar und nikko: Gute Idee mit dem Cronjob.

@Alexander: Das ist sehr nett. Vielen Dank für das Angebot! Für mich wäre das sehr interessant. Aber falls bei den anderen Usern kein Interesse besteht, muss das nicht extra umgesetzt werden. Ich habe ja diverse Alternativen.

Die Brechstange ist genau mein Stil

Tobi wrote: Könnte man diese Checkbox noch bitte um zwei EIngabefelder für Username und Passwort erweitern?
So könnte ich roundcube abschalten (kein User, kein Passwort) aber mein phpMyAdmin mit einem .htaccess Passwortschutz versehen.

Das ist eine sehr interessante Idee.

Alexander wrote:Ich könnte dir eine Checkbox hinzufügen, für Webmail und phpMyAdmin, "aktiviert? - ja/nein" und je nachdem eine .htaccess in die Verzeichnisse legen, die den Zugriff blockiert -> wäre dann somit auch update-sicher und man könnte es bei Bedarf wieder schnell aktivieren. Sofern an dieser Variante Interesse besteht, einfach Bescheid geben.

Warum nicht gleich in der Server-Dienst-Verwaltung an-/abschaltbar machen? Würde logisch und optisch Sinn machen.

Tobi wrote:Könnte man diese Checkbox noch bitte um zwei Eingabefelder für Username und Passwort erweitern?

Das mag für einen Zugang funktionieren. Aber wie willst du es machen, wenn mehrere Leute Zugriff auf das System haben sollen und jeder seine eigene Zugangskennung braucht?

@Alex:
Was mir eben so aufgefallen ist...Wenn ich einen User mit 0 Datenbanken bzw. 0 Mailkonten anlege, dann wird der Link zu PMA bzw. RC im Userpanel trotzdem angezeigt, was nicht wirklich Sinn ergibt.

Jolinar wrote:Warum nicht gleich in der Server-Dienst-Verwaltung an-/abschaltbar machen? Würde logisch und optisch Sinn machen.

Jein. Die .htaccess schaltet ja nix ab sondern sperrt nur den Zugriff.

Jolinar wrote:Das mag für einen Zugang funktionieren. Aber wie willst du es machen, wenn mehrere Leute Zugriff auf das System haben sollen und jeder seine eigene Zugangskennung braucht?

Ich wollte jetzt nicht gleich Alexander für Tage beschäftigen. Aber grundsätzlich geht das schon. Die Passwortdatei kann mehr als einen User verwalten. Theoretisch könnte man die .htaccess sogar über die bereits vorhandene Keyhelp Datenbank synchronisieren und jeder angelegte User kann sich mit seinem persönlichen Keyhelp Passwort anmelden. Ist nur die Frage wieviel Arbeitszeit und Gehirnschmalz man in dieses Feauture investieren kann.
Meine 2 Felder Methode wäre quick`n`dirty aber sicher kein Feature Overkill.

Jolinar wrote:@Alex:
Was mir eben so aufgefallen ist...Wenn ich einen User mit 0 Datenbanken bzw. 0 Mailkonten anlege, dann wird der Link zu PMA bzw. RC im Userpanel trotzdem angezeigt, was nicht wirklich Sinn ergibt.

Siehe: viewtopic.php?f=7&t=294&p=1596#p1589