lighttpd Web Server zabezpečení

V logech žadna chyba není.
a lighttpd.conf

server.modules = (
	"mod_access",
	"mod_alias",
	"mod_compress",
 	"mod_redirect",
        "mod_auth",
#       "mod_rewrite",
)

server.document-root        = "/var/www"
server.upload-dirs          = ( "/var/cache/lighttpd/uploads" )
server.errorlog             = "/var/log/lighttpd/error.log"
server.pid-file             = "/var/run/lighttpd.pid"
server.username             = "www-data"
server.groupname            = "www-data"
server.port                 = 3000


index-file.names            = ( "index.php", "index.html", "index.lighttpd.html" )
url.access-deny             = ( "~", ".inc" )
static-file.exclude-extensions = ( ".php", ".pl", ".fcgi" )

compress.cache-dir          = "/var/cache/lighttpd/compress/"
compress.filetype           = ( "application/javascript", "text/css", "text/html", "text/plain" )

# default listening port for IPv6 falls back to the IPv4 port
include_shell "/usr/share/lighttpd/use-ipv6.pl " + server.port
include_shell "/usr/share/lighttpd/create-mime.assign.pl"
include_shell "/usr/share/lighttpd/include-conf-enabled.pl"

auth.backend = "htdigest"                                                          
auth.backend.htdigest.userfile = "/etc/lighttpd/.htpasswd/lighttpd-htdigest.user" 
auth.require = ( "/var/www" =>    
(
    "method"  => "basic",
    "realm"   => "myrealm",
    "require" => "valid-user"
    ),
)

Nefunguje co presne jak presne?

BTW. preistotu zmaz ten hash.sh (to je len na to aby si si vytvoril ten hash, nema to byt v htpasswd
(P.S. a restartuj pi)

A mas v /etc/lighttpd/.htpasswd/lighttpd-htdigest.user toho usera s jeho zahashovanym heslom?

Ano mam.

cd /etc/lighttpd/.htpasswd
./hash.sh 'leo' 'myrealm' '12345'

Vratilo mi to leo:myrealm:4ae8da4ece125e8c504798bd28ae1df0

To jsem uložil do toho lighttpd-htdigest.user

adresář .htpasswd i soubor lighttpd-htdigest.user ma pravá na 7777

hash.sh smazan.
restart pi.
192.168.1.6:3000
Furt mi najíždí ta testovací stránka index.lighttpd.html co je v /var/www/index.lighttpd.html
Žádné heslo to nechce.

Skusa dat /var/www/ namiesto /var/www. Inak tam chybu nevidim.

Skus to
auth.require = ( "/var/www" =>
zmenit len na / alebo tak podobne, ptz mozno je to relativne uz k tomu www rootu.

P.S. pripadne vytvor si na serveri aj nejaky /var/www/test/test.html a potom skus
auth.require = ( "/test" =>
a skus ist cez prehliadac na ten test/test.html

Tak vyzkoušel jsem.

auth.require = ( "/" =>
auth.require = ( "" =>

Fungovat to funguje

Funguje to pro vše co je v podadresařích www

index.html
Takto to také funguje

Když však zadám 192.168.1.6:3000
Nejede index.html bez hesla

No alespoň něco.
Moc děkují.

Tak si do indexu daj len vitajte a link s nazvom "login". A vsetko dalsie daj radsej do podzlozky /chranene a to si aj nastav na auth.require a hotovo :)

JJ

Mužu ještě dotaz.
Jeden čipek na netu píše, že z bezpečnostních důvodu 'basic', by to bylo dobré cele ještě obalil TLS.
Co tím bylo myšleno?

Podla IP ti bezi ten server doma. To ho chces chranit pred clenmi rodiny, ci co;o)?
Inak ano, pokial chces zabezpecovat tak by si mal spravit aj ten druhy krok a to je pouzitie https, inak je mozne heslo na sieti odchytit a precitat (respektive jeho hash).

Mam to přesměrované na routru.
Takže s domu přes 192.168 a s venčí přes veřejnou.

Otazka je, ci sa ti chce volit taketo riesenie, pretoze kazdy dalsi prvok robi system zlozitejsim a tym padom nachylnejsim na to, ze sa nieco pokazi.
Navyse ak som dobre pochopil bezi server na Pi a tam vidim aj dalsi potencionalny problem a to, ze sifrovany protokol zatazi procesor viac ako nesifrovany (mozno sa to az tak neprejavi, neskusal som).