Verzeichnis mit Passwort belegen

emblem-readonlyNun habe ich bei mir zu Hause einen süßen kleinen Ubuntu-Server stehen. Ein Fujitsu-Siemens Thinclient, von dem ich schon mal erzählt habe. Er frisst nicht viel Stroh(m) und ist ganz praktisch, wenn man ein paar Kleinigkeiten mal kurz ins Netz stellen will. Fotos in vernünftiger Qualität kann man nicht wirklich per eMail versenden und schon gar nicht per Fratzenbuch teilen. Der Upload ist, wenn man nicht gerade über eine entsprechend tolle Glasfaserleitung verfügt, auch mühselig. Über das interne Netzwerk ist das schon deutlich schneller. Man könnte die Dateien auch einfach auf einen USB-Stick kopieren und in den Server stecken… ich arbeite dran… 🙂

Nun sind aber nicht unbedingt alle Personen begeistert, wenn ihre Fotos einfach frei ins Netz gestellt werden. Deshalb wollte ich nun ein Verzeichnis auf dem Webspace, bzw. dem /var/www-Verzichnis per Passwort schützen.

Prinzipiell ist das eine ganz einfache Sache. Hab ich jedenfalls gelesen. Man nehme:

zwei Textdokumente namens .htaccess und .htpasswd. Die Punkte vor den Dateinamen sind nicht zu vergessen.

in die .htaccess kommt folgender Inhalt:

AuthType Basic
AuthName "Zugriff verweigert - Bitte User und Passwort eingeben" 
AuthUserFile /var/www/website1/.htpasswd
Require valid-user
Wobei der Pfad natürlich den vorhandenen Gegebenheiten anzupassen ist.
Nun gebe ich die folgende Zeile ins Terminal ein. Auch hier gilt es, den Benutzernamen durch den entsprechenden Benutzernamen zu ersetzt. Danach erfolgt die erstmalige Eingabe und Festlegung des Passwortes.
htpasswd -cm ./.htpasswd benutzername
Ein weiterer Benutzername muss danach ohne -c, also so:
htpasswd -m ./.htpasswd benutzername2
angelegt werden. Andernfalls wird die Datei einfach überschrieben.
Mit diesen Befehlen kann man sich dann auch diverse Passwortgeneratoren sparen.
Beide Dateien sind in das zu schützende Verzeichnis zu kopieren.
Nun hatte ich das Problem, dass die .htaccess nicht erkannt wurde.
In der Datei
/etc/apache2/apache2.conf
habe ich alle „AllowOverride None“ in „AllowOverride All“ geändert. Ob die Änderung wirklich an allen Stellen notwendig ist, kann vielleicht Ben kurz fachkundig kommentieren.
Er schreibt sehr ausführliche und fachlich fundierte Beiträge auf seinem Blog.
Jedenfalls wird die .htaccess nun nicht mehr ignoriert und das Verzeichnis ist geschützt.
Eine Sache hat mich dann doch noch stutzig gemacht. Das Passwort wurde nur einmal verlangt und dann hatte ich immer freien Zugriff, auch ohne, daß ich das Passwort gespeichert hatte.
Nach geraumer Recherche fand ich heraus, daß die Abfrage erst wieder erscheint, wenn man den Browser, in meinem Falle Firefox, neu öffnet.
Interessant ist vielleicht auch, dass man auf diese Art einen kompletten Blog schützen kann, für den Fall, dass man z.B. einen Händlershop oder einfach einen privaten Blog anlegen möchte.