Qweb mit htaccess und htpasswd schützen

    Hallo liebe QNAP-Freunde,


    Ich melde mich mal wieder mit einem Problem bzw. einer Anregung zu Wort.
    Ich habe auf meinem QNAP einige Funktionen auf meinem QNAP-Apache freigeschaltet - Joomla, Ajaxplorer, Roundcube und eine andere Web-Applikation.


    Da mein NAS auch über eine dyndns-Adresse erreichbar ist, schreibe ich per htaccess alle URLS auf https um - somit sollte jeder Zugriff auf eine Web-Applikation verschlüsselt erfolgen. Der Weg über htaccess war notwendig, weil die Joomla-Administration immer wieder einen http Zugriff benötigt hat. - HTTPS ist also mal aktiviert.


    Damit ich aber meine Web-Applikationen auch ordentlich und einheitlich geschützt sind, habe ich das komplette Qweb-Verzeichnis (und damit auch alle Unterordner) mit htaccess und htpasswd geschützt. Das funktioniert auch ganz gut.


    Ich habe aber zwei Probleme wo ich einen Lösungsansatz benötigen würde:
    1. Wie sieht es mit einer Brute-Force Attacke auf htaccess und htpasswd aus. Wie könnte man eine Ban-List realisieren?
    2. Es wäre nicht schlecht wenn die htpasswd-Abfrage nur bei einem externen Zugriff kommt. Sprich die Abfrage soll bei einem Zugriff aus dem lokalem Netz nicht kommen.


    Ich freu mich schon auf euren Input und eure Meinung dazu!

    Hi


    Zu 2:


    Hier ist mal eine Beispiel .htaccess, wo die Abfrage nur bei einem Zugriff von aussen kommt:

    Apache Configuration
    AuthName "Name"
AuthType Basic
AuthUserFile /path/to/.htpasswd
Require valid-user
deny from all
Order deny,allow
Allow from 192.168.1.
Satisfy any


    So erscheint keine Abfrage für Clients im eigenen Netz mit einer 192.168.1.xxx IP-Adresse.


    Gruss
    Waven

    Also zuerst einmal DANKE an Waven für das exzellente .htaccess-Beispiel!
    Eventuell noch eine nützliche Ergänzung, wie man die NAS-eigenen User/Passwörter verwenden kann:

    Apache Configuration
    AuthUserFile /mnt/HDA_ROOT/.config/shadow


    Zitat von "unknown85"

    Wie könnte man eine Ban-List realisieren?


    Zur Ban-List habe ich in der neuen Firmwareversion: 3.5.1 Build 1002T
    das hier gefunden:Sollte ausreichen, solange es funktioniert :)

    [quote="rumknapser"]Also zuerst einmal DANKE an Waven für das exzellente .htaccess-Beispiel!
    Eventuell noch eine nützliche Ergänzung, wie man die NAS-eigenen User/Passwörter verwenden kann:

    Apache Configuration
    AuthUserFile /mnt/HDA_ROOT/.config/shadow



    jawoooohl... besten dank... das habe ich gesucht ;) htaccess mit den usern die auf der nas eingerichtet sind ;) danke !!!

    Hi,


    danke für die wunderbare Lösung.
    Ist es auch möglich mit diesem Script zusagen, dass von außen überhaupt kein Zugriff erlaubt werden soll?



    Gruß