.htaccess

Die Datei .htaccess (engl. hypertext access, dt. Hypertext-Zugriff) ist eine Konfigurationsdatei, in der auf Webrechnern mit NCSA-kompatibler Webserver-Software (z. B. Apache HTTP Server) verzeichnisspezifische Einstellungen vorgenommen werden können. Beispielsweise lässt sich dort ein Zugriffsschutz für ein Verzeichnis oder einzelne Dateien einrichten. Aber auch Fehlerseiten oder interne Verknüpfungen ("rewrite rules") lassen sich hierüber einstellen, ohne den Webserver neu starten zu müssen: Änderungen in der Datei ".htaccess" treten sofort in Kraft. In diesen Dateien vorgenommene Einstellungen gelten im Gegensatz zu zentralen Konfigurationsdateien (z. B. "httpd.conf") nur für das Verzeichnis, in dem sie gespeichert sind, sowie allen Unterverzeichnissen. Sie können in den Unterverzeichnissen jedoch wieder überschrieben werden.

Konfiguration

Es gibt drei Konfigurationsdateien.

Damit die ".htaccess"-Dateien Einstellungen verändern dürfen, muss der Apache HTTP Server in der Datei "/etc/apache2/sites-available/default" entsprechend konfiguriert werden.

$ sudo vi /etc/apache2/sites-available/default
<Directory /var/www/>
  Options       Indexes FollowSymLinks MultiViews
  AllowOverride AuthConfig
  Order         allow,deny
  allow         from all
</Directory>

Nach einem Neustart von Apache funktionieren nun die selbst erstellten ".htaccess"-Dateien.

$ sudo /etc/init.d/apache2 restart

Anwendungsbeispiele

Standardauthentifizierung

Die Passwortdaten werden aus Sicherheitsgründen nicht in der Datei ".htaccess" gespeichert, sondern in einer separaten Datei. Diese Datei darf sich auch ausserhalb der öffentlich zugänglichen Webverzeichnisse befinden. In einem geeigneten Verzeichnis wird mit Hilfe von htpasswd (unter Umständen "htpasswd2") wird eine neue Passwortdatei (hier ".htpasswd") mit dem Benutzer "mik" erzeugt.

$ cd /home/mik
$ /usr/bin/htpasswd -c .htpasswd mik
New password: 
Re-type new password: 
Adding password for user mik

Für jeden weiteren Benutzer wird die Eingabe ohne den Schalter "-c" wiederholt (der steht für "create" und erzeugt die Datei).

$ /usr/bin/htpasswd .htpasswd abc

Erstellen der neuen (versteckten) Zugriffsregelndatei ".htaccess" im zu schützenden Verzeichnis. Die Verwaltung der Nutzerzugriffe für das entsprechende Verzeichnis wird nun ab sofort durch den Apache HTTP Server erfolgen.

$ vi .htaccess
AuthAuthoritative Off
AuthName          mik
AuthType          Basic
AuthUserFile      /home/mik/.htpasswd
require           valid-user
#<Files *.php>
#Require user mik
#</Files>

Soll eine ganz bestimmte Datei auf diesem Wege geschützt werden, so kann folgender Trick angewendet werden. Die Datei "xyz.php" wird dabei geschützt, fordert die Eingabe von Benutzername und Passwort und leitet den Nutzer dann auf das ungeschützte Skript weiter.

<meta http-equiv="refresh" content=0; url=/script/xyz.php">

Eine andere Konfiguration könnte wie folgt aussehen.

AuthUserFile  /home/mik/.htpasswd
AuthGroupFile /dev/null
AuthName      mik
AuthType      Basic
<Limit GET POST>
require user mik
</Limit>

Digest-basierte kryptographische Authentifizierung

In diesem Fall können mit Sniffern daherkommende Angreifer keine Passwörter ernten.

Erzeugen einer neuen Passwortdatenbank mit MD5-Digest-Authentifizierung unter dem Namen ".htdigest" mit dem Benutzer "mik".

$ cd /home/mik/public_html
$ /usr/sbin/htdigest2 -c .htdigest [AuthName-in-.htpasswd] mik

Anpassung der Zugriffsregelndatei.

$ vi .htaccess
AuthUserFile /home/mik/public_html/.htpasswd
AuthGroupFile /dev/null
AuthDigestFile /home/mik/public_html/.htdigest
AuthName mik
AuthType Digest
<Limit GET POST>
require user mik
</Limit>

Weblinks