Privates Dateiverzeichnis und .htaccess Datei
am 17.09.2019 - 05:19 Uhr in
Hallo zusammen,
Ich habe versucht, ein privates Dateiverzeichnis für Drupal8 zu erstellen.
- also bei mir so: /var/www/vhosts/meinedomain.de/dprivatefiles
- dann habe ich die Gruppenrechte angepasst (via Shell)
- nun wollte ich ein Backup mit dem entsprechenden Modul BackupMigrate in das private Verzeichnis machen, bekam aber vorher den Hinweis:
Nicht vollständig geschützt
Informationen zur empfohlenen .htaccess-Datei, die zum Verzeichnis hinzugefügt werden sollte, um Schutz gegen die Ausführung von beliebigem Code zu bieten, finden Sie unter https://www.drupal.org/SA-CORE-2013-003.
Daraufhin habe ich eine .htaccess Datei erstellt und hochgeladen.
Die .htaccess sieht so aus:
# Turn off all options we don't need.
Options None
Options +FollowSymLinks
# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>
Deny from all
# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
Aber der Fehler wird weiter angezeigt.
Was mir nicht klar ist:
- Wie sieht diese .htaccess bei Drupal8 aus (in dem Beispiel geht es um eine entsprechende Datei für Drupal7)
- in welches Verzeichnis/Verzeichnisse muss man die .htaccess hochladen?
- sind die Gruppenrechte für die setup.php bei root oder bei dem Benutzer, der mit plesk bei der Installation von drupal8 angelegt wurde (zadmin)?
Danke für Hinweise!
LG
D.
- Anmelden oder Registrieren um Kommentare zu schreiben
Bei der Meldung handelt es
am 05.10.2019 - 20:57 Uhr
Bei der Meldung handelt es sich um einen Bug, der noch aus 7 Stammt. Wenn du die Meldung wegbekommen willst, füllst du einfach eine .htaccess-Datei mit dem Code auf, der im in der Meldung verlinkten Issue steht und legst sie in dein privates Dateiverzeichnis. Die Meldung wird ausgegeben, weil der Code das Modul nach der Datei .htaccess im Privaten Datei-Verzeichnis auf deren Inhalt prüft. Stammt dieser nicht mit dem hinterlegten Muster überein, wird die Fehlermeldung ausgegeben.
Wenn ich dazukomme Varbase morgen lokal zu installieren, schreibe ich dir den notwendigen Dateiinhalt hier rein.
https://drupal-tv.de
Drupal sehen und lernen
Hallo Dorothea, Ersetze den
am 06.10.2019 - 11:29 Uhr
Hallo Dorothea,
Ersetze den Code in deiner Datei mal mit diesem hier:
# Deny all requests from Apache 2.4+.
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
# Deny all requests from Apache 2.0-2.2.
<IfModule !mod_authz_core.c>
Deny from all
</IfModule>
# Turn off all options we don't need.
Options -Indexes -ExecCGI -Includes -MultiViews
# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>
https://drupal-tv.de
Drupal sehen und lernen
Danke, aber
am 06.10.2019 - 18:16 Uhr
ich hatte zwischenzeitlich alles neu aufgesetzt, d.h. die komplette Installation neu durchgeführt, dann drupal8 mit composer versucht zu installieren - aber das private Dateiverzeichnis ist nun durch die Neuinstallation auch erst mal weg.
Lg
Doro
"Wenn der eine nicht will, können zwei nicht miteinander streiten."
Arno Backhaus