XF2.1 Howto: AdminCP zusätzlich schützen

spicer

Bekanntes Mitglied
Lizenzinhaber
Registriert
5. Okt. 2019
Beiträge
174
Punkte
63
XF Version
  1. 2.1.2
PHP-Version
7.2
MySQL/MariaDB
10.1
Provider/Hoster
Hetzner
Zuerst müssen wir die .htpasswd Datei erstellen.
Der Apache liefert unter Linux gleich den Befehl zur Erstellung der .htpasswd Datei mit, welcher ganz einfach angewendet werden kann. Wir nehmen an, dass das Forum unter /var/www/webseite liegt:
htpasswd -c /var/www/webseite/.htpasswd admin
Da wird man gleich nach dem gewünschten Passwort gefragt.
Dieses unbedingt notieren!
Jetzt in der .htaccess Datei im Forum Hauptverzeichnis folgendes anhängen:
Code:
<FilesMatch admin.php>
AuthType Basic
AuthName "Zugriff verweigert - Bitte User und Passwort eingeben"
AuthUserFile "/var/www/webseite/.htpasswd"
require valid-user
Order deny,allow
Deny from all
Allow from 11.111
Allow from 222.222.222.22
Allow from 33.33.233.233
</FilesMatch>
Mit Allow from können erlaubte IPs oder IP-Ranges angegeben werden.
Falls nicht erwünscht, einfach Deny from all weglassen.

Das wars schon.
Wenn Du nun ins AdminCP willst, erscheint ein zusätzliches Anmeldefenster.
Hier admin und das oben vergebene Passwort eingeben.
Habe das ganze mit Apache 2.4.41 und PHP 7.2.19 getestet.

Falls die htaccess Datei nicht abgearbeitet wird, habe ich hier:
XF2.1 - htaccess wird nicht ausgeführt
einen Thread dazu.
 
Mit Allow from können erlaubte IPs oder IP-Ranges angegeben werden.
Falls nicht erwünscht, einfach Deny from all weglassen.
Wenn du keinen Proxy benutzt mit fester IP Adresse funktioniert das in Deutschland nicht weil wir eine Dynamische IP haben.
Außerdem warum möchtest du das zusätzlich schützen? Mir ist bisher keine Möglichkeit bekannt sich ins APC zu hacken; schwache Passwörtert und nicht nutzen von 2FA ausgenommen.
 
Ich nutz dafür "nur" das Addon ACPplus von Xenmade ehemals. Das bringt nen IP-Schutz mit womit man den Zugriff zumindest auf kleinere IP-Bereiche eingrenzen kann, was das Risiko mMn. schon senkt.
Dazu nen guter Zugriffsschutz auf Dateiebene und es sollte schon einigen Aufwand benötigen, da durch zu kommen, wenn der Server ansonsten halbwegs sicher eingerichtet ist. Denn was nutzt der reine htaccess Schutz wenn der Server als solches und damit womöglich die Datenbanken weitgehend ungeschützt sind.

Was mEn. relativ viel bringt ist ein gut scharf gestelltes fail2ban oder ähnliches auf PHP Basis seitens eingesetzter Software.

Verbesserungspotenzial gibts aber immer... :D ;)
 
Wenn du keinen Proxy benutzt mit fester IP Adresse funktioniert das in Deutschland nicht weil wir eine Dynamische IP haben.
Außerdem warum möchtest du das zusätzlich schützen? Mir ist bisher keine Möglichkeit bekannt sich ins APC zu hacken; schwache Passwörtert und nicht nutzen von 2FA ausgenommen.
Ich selber zBsp hab eine statische IP. Auch bewegen sich die dynamischen IPs in einer Range. So kann man zumindest nur die zulassen.
Es gehört halt auch in ein Tutorial, damit alle Möglichkeiten beschrieben sind.

Natürlich nutzt man lange und gute Passwörter.
Zusätzlicher Schutz schadet aber nie. Schon nur wegen brute force Attacken.
 
@Tealk
Kommt ja drauf an ob man den Server selber verwaltet, oder verwalten lässt und selbst bei managed Servern hab ich schon viel Elend gesehen. Bei Webspace ist das selten anders, je nach Anbieter und Preislage...

Daher - von ausgehen ist gut, Kontrolle ist besser. :D ;)

@treki
Aber eben genau gegen Brute Force Attacken auf das ACP kann man sich recht gut wappnen. Da nimmt einem eine gescheite Firewall und Fail2Ban - gescheit eingestellt voraus gesetzt, viel ab. Für den Rest kann man dann auf Web Ebene ran. Aber das Groß sollte schon gar nicht erst den Server groß belasten, sonst wir aus nem vermeintlich geblockten Brute Force Angriff schnell ein Denial of Service ...
 
Ich nutz dafür "nur" das Addon ACPplus von Xenmade ehemals.
Dies wurde ja von der offiziellen XF Seite gelöscht!
Warum wohl?

Ich wollte ja hier keine Diskussion lostreten, wie man sein Forum zu schützen hat.
Lediglich ein Tutorial für diejenigen, die das so machen wollen.
Habe eine ganze Weile gepröbelt, bis das lief. Vorallem, weil die htaccess gar nicht abgearbeitet wurde.
 
Jep - das find ich bei XF n bisl Mist. Das ist einerseits gut und richtig aber mMn. suboptimal umgesetzt und sorgt immer wieder für Gerüchte und Stress sowie Missverständnisse.
Desweiteren gibt es ja nun mit etwas Glück einen Nachfolger...

Und mal nebenher - das brachte nicht nur den ACP Schutz mit IP Sperre mit, sondern auch einige andere nette Features wie z.B. einen Check ob bestimmte Dateirechte korrekt gesetzt sind, die Möglichkeit DB-Abfragen vom ACP aus zu machen und weiter kleine aber feine Ergänzungen fürs ACP. Ich hab damals aktiv für den Entwickler getestet und setze es heut noch gerne ein.

Ich wollte ja hier keine Diskussion lostreten, wie man sein Forum zu schützen hat.
Lediglich ein Tutorial für diejenigen, die das so machen wollen.
Habe eine ganze Weile gepröbelt, bis das lief. Vorallem, weil die htaccess gar nicht abgearbeitet wurde.
Dann hättest eine Ressource statt eines Themas erstellt und direkt diese als unsupportet markiert. ;)
Hier im Diskussionsbereich sollte man schon drüber reden dürfen zumal ja durchaus brauchbare Ergänzungen aufgeführt wurden.

Ansonsten schreibt halt in deine Anleitung unten drunter: "Ich wünsche keine Diskussion zu dieser Anleitung." vielleicht klappts ja... (oh Mist, jetzt kam der Grinch wieder in mir hoch - Sorry! :D ;) )
 
"brauchbare Ergänzungen" sind natürlich erwünscht.
Aber ein Link zu einem Addon (welches auch gekostet hätte) das nicht mehr supportet wird, ist ja nicht wirklich brauchbar ;)
 
Ich hab nen Link gesetzt? Zum ACPplus Addon? Wo denn - ich habs nur erwähnt. Zumal man es mit etwas Feingefühl vom Alt-Entwickler sicher noch bekommen könnte. Ich bekam nach Seiten-Schluß auch noch die 2.x Versionen auf Nachfrage zugesandt - ok, ich hab ihn aber auch nie an Bein gepisst oder bin ihm anderweitig auf den Zeiger gegangen. Na zumindest nicht mehr als er vertragen kann. :D; )

Das Addon macht ein paar (nicht alle) Sachen, die man auch recht flott selbst zusammen schreiben könnte gerade in Bezug auf die Sicherheits Features. Und in sofern war es auch als Anregung und nicht als Werbebeitrag zu verstehen.

Ehe es Off-Topic wird:
Es brachte auch eine Versionsprüfung mit, die einem direkt im ACP anzeigte wenn eine neue XF Version erschienen war. Könnte man auch als Sicherheits Faktor sehen. Ähnliches kann ja z.B. ein UNIX Server mit Bordmitteln auch leisten. Also sich selbst auf Updates checken und wenn man wollte diese auch automatisch installieren lassen.
Oder automatische Kernel-Updates on the fly.

Zu deiner htacces könnte man noch erwähnen, das deren Nutzung heut als nicht mehr so ganz optimal gilt, da in diesem Fall in JEDEM Verzeichniss in deinem web danach gesucht wird, egal ob diese dort existiert oder nicht. Deshalb gibt es da alternativen, die u.U. etwas performanter sind. Aber dazu gibts schon reichlich Tutorials im Netz, passend zur eigenen Server UNIX Version.

Was eventuell noch eine Idee wäre - per htaccess nur einem expliziten User-Agent String den Zugang ermöglichen, zus. zur IP Whitelist. Wenn man sich dann etwas diszipliniert verhält und diesen User Agent nur im ACP nutzt (es gibt Browser Plugins, welche den UserAgent per Doamin und sogar per site wechseln können). Wenn der User Agent dann schön kompliziert ist, könnte das auch noch ein weiteres zu knackendes Hindernis sein.
 
Was eventuell noch eine Idee wäre - per htaccess nur einem expliziten User-Agent String den Zugang ermöglichen, zus. zur IP Whitelist. Wenn man sich dann etwas diszipliniert verhält und diesen User Agent nur im ACP nutzt (es gibt Browser Plugins, welche den UserAgent per Doamin und sogar per site wechseln können). Wenn der User Agent dann schön kompliziert ist, könnte das auch noch ein weiteres zu knackendes Hindernis sein.

Interessante Idee. Wenn das erfolgreich getestet ist, werd ich das gerne in den Eingangs-Post einbinden.
 
Weil ich nach der Anleitung gegangen bin, obschon die für XF1 ist ^^
Google mal nach "htaccess xenforo nicht ausgeführt"
da kommt jetzt XF2.1 - htaccess wird nicht ausgeführt hervor!
Vorher war da nichts!!!
zBsp
<Files admin.php>
heisst heute anders. Bis ich das gefunden habe....

<FilesMatch admin.php>

Darum mache ich doch Tutorials.
Und dieses hier ist exklusiv in DE für xendach!
Nicht alle sind der englischen Sprache mächtig...wie ich auch.

Ist auch in der Linux Gemeinde so. Jeder gibt nur Bruchstückhaft Antwort.
Was soll der Fragesteller damit anfangen?
Man geht auf die ersten Resultate in Google.
Dann noch 5000 Posts in dem Artikel durchlesen.....
Wer macht (kann) das?

Ich will der Linux und jetzt auch XF Gemeinde weiter helfen.
Darum mache ich Tut's von der Arbeit, die ich gemacht habe.
Leider erntet man dann von vielen hohn.

Aber nur so wird etwas gross.

Wie findest den Artikel: https://www.xendach.de/threads/proxmox-und-auch-hetzner-meine-erfahrungen-tipps.6908/
?
 
Zuletzt bearbeitet:
Aber verstehst schon, was ich möchte?
Weil jeden Tag kämpfen sich Neuzugänger ab, fragen und bekommen dürftige (lückenhafte) Antworten.
Das will ich ändern!
 
Ich weiß nicht ob ein Neuling damit anfangen sollte, da gibt es andere Baustellen für den. Aber ja kann nicht schaden.
 
Auch wenn ihr das nicht wahrhaben wollt, es ist nützlich für ein forum, wenn jemand googelt und das problem aufgelistet wird (sogar in deutsch).
der admin hier wird meine meinung bestätigen.
ihr könnt mich auszählen usw. aber mit dem nützt ihr diesem forum nicht. im gegenteil.
besserwisserei ist heutzutage verpöhnt
 
Warum dieser passiv aggressive Unterton?

Das hier ist ein Diskussions-Forum. Darin wird diskutiert. Wenn das nicht erlaubt ist, mach einen Blog auf, am besten ohne Kontakt und Kommentarfunktion. ;)

Niemand wurde bisher ausgezählt, das sieht anders aus. :D
 
Zurück
Oben