Roundcube Community Forum

 

Installation absichern

Started by Romulux, March 14, 2009, 06:38:39 AM

Previous topic - Next topic

Romulux

Hallo allerseits

Nach dem Abschluss der Installation muss man gemäss der engl. Anleitung  Howto_Install ? RoundCube Webmail die drei Verzeichnisse config, temp und logs absichern bzw. schützen ('protect'):

QuoteProtect your installation

Access through your webserver to at least the following directories should be denied:
/config
/temp
/logs

Roundcube use .htaccess files to protect this directories, be sure to allow override of the Limit directives to get them taken into account.

Was ist genau damit gemeint? Ich habe den "chmod" dieser Verzeichnisse auf "755". Zudem gibt's in jedem Verzeichnis jeweils eine .htaccess mit dem Inhalt
Order allow,deny
Deny from all 


Frage: Bieten diese Einstellungen genügend Sicherheit, oder ist diese Installation unsicher?

Cheers und danke im Voraus für Eure geschätzten Kommentare, auch allgemein zum Thema Sicherheit.
Romulux

rosali

chmod sollte vollen Zugriff (Lesen, Schreiben, Löschen) bieten. Die Zugriffsbeschränkung per htaccess ist ausreichend - jedenfalls wenn Du RoundCube auf einem Apache laufen lässt. IIS müsste die htaccess Anweisungen auch akzeptieren.

Du kannst das ganz einfach testen, indem Du versuchst mit einem Web-Browser (z.B. IE) auf eines der Verzeichnisse zuzugreifen:

http://path_to_roundcube/temp

Der Browser müsste die Anfrage mit Fehler 403 (Access denied) zurückweisen.
Regards,
Rosali
__________________
MyRoundcube Project (commercial)

Romulux

ist genau so: 403 Forbidden kommt zurück - ich habe noch nie so gerne einen Zugriffsfehler gekriegt :-)
Vielen Dank für die Unterstützung!