vServer, ISPConfig & mod_rewrite (Sicherheit)

[Hotwave]

Zunächst kenne ich mich, was Sicherheit von Webservern betrifft, schon soweit aus, dass ich den Server auch guten Gewissens betreiben kann.
Alles weiß ich jedoch nicht und frage deshalb nach.

Ich betreibe einen vServer mit ISPConfig und momentan einer Domain. Die Domain lasse ich per ISPConfig auf /var/www/<domainname>/web/ zeigen mit der Option "no redirect".
Das Verzeichnis /var/www/ ist jetzt immer noch über die IP-Adresse des Servers erreichbar. Das möchte ich gerne per mod_rewrite ändern, sodass bei Eingabe der IP-Adresse des Servers direkt auf Domain xyz weitergeleitet wird.
Wie würde eine passende .htaccess-Datei dafür aussehen?
Sollte ich zusätzlich noch die Zugriffsrechte von /var/www/ und den dortigen Unterverzeichnissen anpassen, sodass es wirklich ausgeschlossen ist, dass darauf zugegriffen werden kann?

Nebenbei habe ich noch eine Frage, was das mit dem Domain-Redirect von ISPConfig auf sich hat. Ich kann ja wählen zwischen "no redirect", "no flag", "r", "l" oder "r + l", was bedeutet das genau?

[DeDiHosting]

mod_rewrite is dafür die falsche lösung, was im ispconfig 3 leider fehlt ist das anlegen eines default-hosts der das besagt verhalten in ein "sharedip" verzeichnis leitet.

öffne die datei /etc/apache2/apache2.conf und suche die zeile

Code:

1:
Include /etc/apache2/conf.d/

und füg darunter ein

Code:

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
<Directory /var/www/sharedip>
    Options +Includes -Indexes
    AllowOverride None
    AllowOverride Indexes AuthConfig Limit FileInfo
    Order allow,deny
    Allow from all
    <Files ~ "^\.ht">
    Deny from all
    </Files>
</Directory>

NameVirtualHost 127.0.0.1:80
<VirtualHost 127.0.0.1:80>
  ServerName localhost
  ServerAdmin root@localhost
  DocumentRoot /var/www/sharedip
  <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
    RewriteRule .* - [F]
  </IfModule>
</VirtualHost>

die 127.0.0.1 ersetzt du mit deiner öffentlichen ip-adresse, wenn du mehrere hast, musst du den letzten block samt "NameVirtualHost" kopieren und die entsprechende ip einsetzen.

speichern und den ordner /var/www/sharedip erstellen. da kannst du dann eine beliebige index.html reinlegen und der inhalt vom /var/www ist nicht mehr sichtbar.

und zu den redirect-flags:

Zitat:

This are the redirect "types" from apache.

R: the URL changes to the new path in the browser URL input field.
L: the URL does not change in the browser URL input field.
L,R: Dont remember the exact behaviour of this at the moment. For details take a look at the apache rewrite guide, it should be explained there when to use which type.

[TerraTux]

Sorry, aber wieso soll für seinen Fall mod_rewrite nicht ausreichen? Er möchte doch nur, dass man bei aufruf der IP-Adresse nicht den Inhalt des Verzeichnisses sieht. Für den Auftrag reicht doch eine "billige" .htaccess in /var/www vollkommen aus.

Einen Default-Host wird es schon geben, nämlich welcher der da genau die Direktive für /var/www enthält. Warum sollte man diesen über ISPConfig (oder jedem anderen Server-Management-System) ändern können/müssen?

[Hotwave]

Das Thema hat sich insofern erledigt, als dass über die IP-Adresse die Webseiten gar nicht erreichbar sind (403).
Eine Weiterleitung der IP-Adresse per .htaccess in /var/www/ ist mir allerdings immer noch nicht gelungen, trotz korrekter Syntax etc.
Letztendlich ist das eigentliche "Problem" damit nicht gelöst, aber ein wirklicher Schaden entsteht dadurch nicht.

[DeDiHosting]

sry, ich glaub ich verstehe nicht was du eigentlich vorhast.

du willst beim aufruf der ip-adresse auf die domain weitergeleitet werden?
poste doch mal die syntax, das hilft bestimmt.

und wieso ich den /var/www verschiebe nach sharedip? weil im var/www niemand was verloren hat, da drunter liegen die ganzen web-ordner

im ispconfig2 wars noch so, dass die sharedip in den shared-ordner geleitet wurde, im ispconfig3 landen die ip-aufrufe im /var/www, mir schmeckt das überhaupt nicht, denn wenn man mod_php einsetzt kann man jetzt überall zB in die logs schauen und dahin wandern wo man eigentlich NIX verloren hat, Sie verstehen worauf ich hinaus will?

[TerraTux]

Zitat:

Zitat von DeDiHosting

und wieso ich den /var/www verschiebe nach sharedip? weil im var/www niemand was verloren hat, da drunter liegen die ganzen web-ordner

Gut, bei mir nicht. Aber ich setz auch kein ISPC ein.

Zitat:

Zitat von DeDiHosting

im ispconfig2 wars noch so, dass die sharedip in den shared-ordner geleitet wurde, im ispconfig3 landen die ip-aufrufe im /var/www, mir schmeckt das überhaupt nicht, denn wenn man mod_php einsetzt kann man jetzt überall zB in die logs schauen und dahin wandern wo man eigentlich NIX verloren hat, Sie verstehen worauf ich hinaus will?

Aber, wenn auf eine Domain umgeleitet wird, kommt man doch wirklich nie nach /var/www. Er möchte ja auf eine Standarddomain (wohl Hauptdomain) und nicht in einen shared-ordner der irgendeine statische Dummyseite enthält. In sofern wär die modifikation des default-hosts auch quatsch.

mod_php: hm? Wenn die Sicherheiten schrott sind, ist es doch egal, wo sich die web-ordner oder logs befinden, und/oder ob die IP in einen separaten Folder geleitet wird...