PHP Index of nach Passwortabfrage

[real_general]

Ich habe auf meinem NAS einen HTML Server mit PHP-Support laufen.
Ich möchte von außerhalb (dyndns) auf Dateien auf dem Server abrufen.
Da ich allerdings nur Grundkenntnisse in PHP & HTML habe, bereitet mir das einige Schwierigkeiten.

Ich habe eine PHP-Datei, die ein Passwort abfrägt und möchte von dort aus via Link auf eine "index of" Übersicht des Servers kommen.
Allerdings bekomme (nach dem linken auf z.B. ///volume_1/) ich immer nur die Fehlermeldung "Access Error: Site or Page Not Found".

Frage:
1. Auf was muss ich verlinken, damit ich eine (passwortgeschütze) Index of Übersicht bekomme?
2. Gibt es eine hübschere Variante?

 

[asdfman]

Warum mit (dank mangelnder Kenntnis wahrscheinlich unsicherem) PHP das Passwort abfragen und nicht einfach mit htpasswd?

 

[real_general]

...Anfänger...
Kannst du mir erklären, wie htpasswd in Verbindung mit einer Passwortabfrage funktioniert?
Google spuckt ein paar interessante Sachen aus, mit denen ich alleridings nicht viel anfangen kann.

 

[asdfman]

http://www.google.de/search?hl=de&q=htpasswd

 

[real_general]

Soweit war ich schon, aber nun gut.
Ich beziehe mich ketzt einmal auf den 2. Treffer:

An welche Datei soll ich meine Eingaben per Post weiterleiten?
Direkt an die .htaccess? Kommt mir irgenwie komisch vor...

 

[claW.]

du legst einfach 2 dateien mit den namen ".htaccess" und ".htpasswd" an. dort hinein schreibst du dann folgendes:

.htaccess:

AuthType Basic
AuthName "<name des bereichs>"
AuthUserFile "<absoluter pfad zur .htpasswd-datei>"
Require valid-user

.htpasswd: dazu machst du die konsole auf und gibst dort folgendes ein:

htpasswd -cs "<absoluter pfad zur .htpasswd-datei>" <username> <passwort>

 

[real_general]

Ich schätze ich muss im lighttpd erst ein Modul aktivieren, denn die Eingabe in Telnet führt zu: "not found"

 

[asdfman]

Hmmm.. Ich kenne htaccess nur als Apache Feature. Vielleicht hat lighttpd eine andere Methode
zur Benutzerauthentifizierung. Wie das aussähe, kann ich dir dann aber leider nicht sagen.

 

[real_general]

Hab da was gefunden und versuche damit zu arbeiten, melde mich später nochmal.

-edit- So ich denke htaccess sollte jetzt aktiv sein.
Eigentlich sollte, wenn ich auf einen Ordner zugreifen will, jetzt ja eine Abfrage kommen.
Allerdings kommt, wenn ich "//192.168.178.3:8080/mnt/HD_a2/www/pages" eingebe, ein 404 - Not found.

Frage an die lighttpd-Profis: Was mache ich falsch?
Mein "server.document-root" ist üprigens "/mnt/HD_a2/www/pages"

 

[neocrypta]

Also mir hat diese schöne Datei geholfen:
Einfach ausführen und schön ausfüllen.


Einfach die xssen.txt in xssen.txt umbennen, CB erlaubt keine PHP Uploads.

 

[real_general]

Bevor ich auf meinem Server jetzt fremden Code ausführe, was macht diese Datei genau?
Soweit ich sehe ist das php.. oben wurde noch gesagt das ist unsicher...

Allerdings wäre mir auf jeden Fall, nach der ganzen Arbeit, eine lighttpd mit htaccess lieber.

-edit-
Bin jetzt noch weiter:
Ich bekomme über "//192.168.178.3:8080/secure" eine Index of von "/mnt/HD_a2/www/pages/secure", allerdings ohne PW-Abfrage.

 

[asdfman]

PHP ist nicht unsicher. Schlampige Programmierung ist unsicher.
Und du sagtest, du könntest das nicht so gut. Deshalb habe ich eine Alternative empfohlen.

Wenn ich dich da missverstanden haben sollte, spricht natürlich gar nichts dagegen, das
in PHP zu machen.

 

[real_general]

Ich glaube du hattest schon Recht, dass meine php-Datei nicht gerade sicher war.
Ich würde aber doch lieber htaccess nutzen, dass ich jetzt sowit verstanden haben, anstatt fremden php Code auf meinem Sernver auszuführen.

Die Frage ist:
Warum bekomme ich keine PW Abfrage?


-EDIT- ANTWORT: VERGESSEN DEN SERVER NEUZUSTARTEN

 

[real_general]

Neue Frage:
In welchem Format muss mein Name&Passwort in der lighttpd-htpasswd.user vorliegen?
Mit "user:m5d-hash" komm ich nicht rein.

Auf die lighttpd-htpasswd.user wird mit "auth.backend.htpasswd.userfile = "//xxx.dyndns.net/secure/lighttpd-htpasswd.user"" gelinkt

 

[asdfman]

http://www.google.de/search?hl=de&q=htpasswd <- 1st hit.

 

[real_general]

Nimmt er aber nicht.
Kanns sein, dass was mit der verlinkung nicht stimmt?

 

[asdfman]

Wenn das Passwort nicht stimmt, wirst du so lange weiter gefragt, bis es stimmt.
Wenn was mit der Verlinkung nicht stimmt, wirst du nur einmal gefragt.

 

[real_general]

Ich werd immer weiter gefragt --> PW, bzw. Verschlüsselung stimmt nicht.
Habe jetzt mal ein bsp. gemacht:

User:root
PW:root
= root:$1$vALl8oAe$cUjBXjMtxSMzkdqmvWuCF1

Wenn ich nun aber root&root eingebe, werde ich weiter gefragt.

 

[asdfman]

Dann wäre es möglich, dass dein Modul DES hashes statt des modifizierten MD5 benutzt
Das hier probieren: http://www.gaijin.at/olshtcrypt.php
(DES macht aber meines Wissens nur maximal 8 Zeichen Passwort mit.)

Ansonsten ist Doku lesen immer ein guter Tip.

 

[real_general]

Komm jetzt rein, damit kann dieser Thread jetzt geclosed werden.

Lösung:
Der Link darf nicht mit der IP angegeben werden (//xxx.dnsalias.net:8080), sonder mit internen Linux-Bezeichnung. (mnt/HD_a2/www/).
Das Passwort wird als modifizierte MD5 abgelegt.

Danke für die Hilfe hier.