[solved] Backend mit HTACCES / HTPASSWD absichern

Guten Morgen, ich bin auf der Suche nach einer Lösung, wie ich das Backend zusätzlich mit htaccess absichern kann.

Folgendes habe ich bereits versucht, wirft aber nur eine 500er Meldung:

<Directory “neos”> # oder auch der absolute Pfad
AuthName “Member Only”
AuthType Basic
AuthUserFile /var/www/html/.htpasswd
require valid-user

Das wird so nicht funktionieren, weil das Verzeichnis “Neos” nicht existiert. Der Link /neos wird in einer Routes.yaml durch das Routing erzeugt und ist kein physikalisches Verzeichnis.

Edit:// Siehe die Antwort von Bastian unter meinem Posting.

Wie sich für das Backend ein zusätzlicher Schutz realisieren lässt, weiß ich auch nicht.
Das ist eigentlich auch nicht notwendig wenn ein sicheres Passwort gewählt wurde.

Falls du das Backend gegen Brute Force Attacken schützen möchtest und Neos 3./4. verwendest, könntest du dir das folgende Package anschauen: https://github.com/aertmann/brute-force

Das würde ich so generell gar nicht sagen. Es kann durchaus Gründe geben, das Backend zusätzlich abzusichern.
Und für Apache sollte das eigentlich mit folgender Konfiguration möglich sein:

# Do the regex check against the URI here, if match, set the "require_auth" var
SetEnvIf Request_URI ^/neos require_auth=true

# Auth stuff
AuthUserFile /var/www/htpasswd
AuthName "Password Protected"
AuthType Basic

# Setup a deny/allow
Order Deny,Allow
# Deny from everyone
Deny from all
# except if either of these are satisfied
Satisfy any
# 1. a valid authenticated user
Require valid-user
# or 2. the "require_auth" var is NOT set
Allow from env=!require_auth

(ungetestet von https://stackoverflow.com/questions/14603568/password-protect-a-specific-url übernommen)

2 Likes

Die Order/Deny/Allow Syntax hat sich mit Apache 2.4 etwas geändert ( Require * denied/granted), aber ansonsten sollte das so funktionieren. Siehe https://httpd.apache.org/docs/current/upgrading.html

1 Like

Vielen DANK! Hat wunderbar funktioniert.

1 Like