.htaccess

borbelymihaly képe

Sziasztok!

Van egy fizetős tárhelyszolgáltató, amelyik most változtatott a biztonsági szabályain. Ami annyit tett, hogy Internal Server Error hibával elszállt a drupalos oldal.
A szolgáltató javaslatára a .htaccess fájlban kikommenteztem a Options FollowSymLinks sort, mert ez megoldja a problémát. Ez persze bejött, az oldal elérhetővé vált ugyan, de a CSS-nek lőttek, teljesen széthullott a felület

Meg lehet valahogy oldani, hogy a CSS újra rendesen elérhető legyen?

A segítséget előre is köszönöm!

borbelym

Sk8erPeter képe

Tudom, mire gondolsz:
http://blog.tarhelypark.hu/szerver-beallitas-followsymlink/
Az egyik probléma az, hogy mindezt nem jelezték e-mailben, nekem kellett kutatnom, hogy na most mi a franc történt az oldallal.
Nálam megcsinálták a módosítást kérés nélkül is, kikommentezték a .htaccess fájlomban a következő sort:
Options +FollowSymLinks
Feltételezem, mindez automatizáltan történt, mert én nem nyúltam a fájlhoz, mert nem értesültem korábban a módosítási szándékról (nem nézegetem a blogot...). Oké, DE: a nagyobb probléma igazából az, hogy most így rengeteg képnél 404 Not Found hibát kapok, másoknál pedig 403 Forbidden kódot. A megoldására egyelőre én sem jöttem rá, ehhez kicsit késő van, most írok a szolgáltatónak.
Jó lett volna erről korábban tudni, hogy felkészülhessek a lehetőségre.

A hibanaplóban pedig ilyeneket kapok:

"[Thu Dec 27 22:24:40 2012] [error] [client 94.AB.CDE.FGH] Options
FollowSymLinks or SymLinksIfOwnerMatch is off which implies that
RewriteRule directive is forbidden:
/home/elérésiút/énoldalam/sites/default/files/enyém-logo.jpg,
referer: http://example.hu/"

Egyébként ez senkit ne riasszon el a szolgáltatótól, mert amúgy nagyon korrektek, gyorsak, meg minden okés, csak ebben szerintem nem kicsit maradt el a mielőbbi, KÖZVETLEN tájékoztatása a domain-tulajdonosoknak és megjelölt kapcsolattartóknak.

=========================
SZERK.:
De úgy látom, más is megemlítette a dolgot:

https://www.facebook.com/tarhelypark/posts/268993219893507?comment_id=11...

"kiküldhetnétek az ilyen fontos infókat e-mailben is, mert kb. fél órát szórakoztam, mire rátaláltam erre a bejegyzésre..."

"Lehetett volna, de a cél az volt, hogy ne is vegyétek észre, így írtunk minden szerverre szkriptet, ami javította a beállítást. Úgy 23 órára az összes tárhelyen lefutott, és javította a htaccess fájlokat. Mail-t azért nem tudunk írni róla, mert nem érinti a megrendelőink nagy részét, és nem akartunk feleslegesen riadalmat kelteni. Megpróbáljuk az ilyen jellegű beavatkozásokat minimalizálni a jövőben is, mint ahogyan eddig sem fordult elő. Köszi a megértést!"

Hát nálam volt egy kis "riadalom", mert egyáltalán nem értettem, mi történt. :D
A másik meg az, hogy most kicsit elakadtam, hogy akkor mi is a teendő. Az meg nem túl jó. Se nekem, se a megrendelőnek. A megrendelővel meg kell értetnem, hogy nem én vagyok ám a hibás, és hogy miért van az, hogy eddig gond nélkül működött az oldal, aztán hirtelen "elromlott".

Bár értem én a jószándékot, azért ez nem kis anyagi veszteséghez is vezethetne adott esetben, szerencsém, hogy nem profitorientált az oldal, amit fejlesztek.

1
0
kepes képe

Sziasztok!

Természetesen nem fogjuk annyiban hagyni, hogy Drupal oldal hibát dob, de az eddig átnézett oldalak működtek. Lehet, hogy régebbi Drupal volt amit néztem, nem tudom.

A "mert egyáltalán nem értettem, mi történt" megjegyzésre azért annyit elárulok, hogy elég részletesen leírtuk az oldalon, hogy mi a gond:
http://blog.tarhelypark.hu/hekker-tamadas-joomla-wordpress/
http://adminblog.tarhelypark.hu/apache-symlink-hack-wordpress-joomla/

A lényeg, hogy ha rosszul vannak beállítva a fájlaid jogosultságai és a szerveren be van állítva a FollowSymLinks, akkor az oldalad feltörik. Erre már írtunk szkriptet, figyelmeztettük az tulajdonosokat, de sajnos azonban hiába minden próbálkozásunk, a megrendelőink nagy részét nem érdekli mi az a Symlink és nem is tesz meg semmit az oldalak biztonságáért. Eredmény: több száz feltört oldal, folyamatos telefonálás és levelezés az ügyfélszolgálaton, és magyarázkodás, hogy nem a szervert törték fel, csak a rosszul beállított oldalakat.

Hibaüzenet "FollowSymLinks or SymLinksIfOwnerMatch is off which implies that
RewriteRule directive is forbidden:" :
Ezt kell megnéznünk, mert a rosszul működő FollowSymLinks helyett a jó SymLinksIfOwnerMatch be van kapcsolva a szerveren, tehát vagy nem érzékeli a drupal, vagy valami nem ok.

Már nézem is, megírom a fejleményeket...

1
0
Sk8erPeter képe

Ahogy általában, a Tárhelyparknál ismét nagyon korrekten kezelték az ügyet!
Pont azután szólítottam meg 10 perccel a Tárhelypark csetfelületén Képes Pétert, miután már meg is írta közben a megoldást. :)

A megoldás jó, a sites/default/files könyvtárban lévő .htaccess-fájlban elvégeztem a javasolt módosítást, hozzáadtam az Options +SymLinksIfOwnerMatch sort, és minden ismét hibátlanul működött! Kipróbáltam a fájlfeltöltést is, és ott sem tapasztaltam semmi problémát.

Az említett helyen lévő .htaccess-fájlban tehát a következő sorok vannak:

  1. SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
  2. Options None
  3. #Options +FollowSymLinks
  4. Options +SymLinksIfOwnerMatch

A kikommentezést a Tárhelyparknál automatikusan elvégezték, nekem csak az utolsó sort kellett manuálisan hozzáadnom.

Ha valaki utána akar olvasni:
http://httpd.apache.org/docs/2.2/mod/core.html#options

FollowSymLinks
The server will follow symbolic links in this directory.

[...]

SymLinksIfOwnerMatch
The server will only follow symbolic links for which the target file or directory is owned by the same user id as the link.

Nagyon nagy köszönet a szolgáltatónak a gyors probléma-felderítésért, a hozzáállásuk példaértékű!

2
0
kepes képe

megjegyzem írhatnátok az ügyfélszolgálatra pár hibásan működő oldalt, mert eddig konkrét bejelentést nem kaptunk!

0
0
borbelymihaly képe

Hála az égnek nekem annyi elég volt, hogy kommenteztem a megfelelő sort. Igaz azután a firefox hülyén jelenítette meg az oldalt, de sikerült rájönnöm az okára.
De addigra már ide beírtam a gondomat.

Böngésző restart után szépen összepakolta a theme-t :)

0
0

Borbély Mihály

kepes képe

Találtunk egy-két oldalt, ahol a képek és CSS nem töltődik be, a hibaüzenet a már fentebb írt "Options FollowSymLinks or SymLinksIfOwnerMatch is off which implies that RewriteRule directive is forbidden"

A hiba forrása a "sites/default/files" könyvtárban levő .htaccess fájl, aminek a tartalma eredetileg:

SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
Options None
Options +FollowSymLinks

Ez nem működik a szerveren a "Options +FollowSymLinks" miatt, de a sort már kikommenteztük, tehát ami él az az Options None. Ezért mondja a hibaüzenet, hogy nincs beállítva a SymLinksIfOwnerMatch annak ellenére, hogy default beállítás a szerveren.

A megoldás:
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
Options None
Options +SymLinksIfOwnerMatch

Erről mások is írnak, pl.:
http://drupal.hu/forum/htaccess-files-konyvtarban
http://techcommons.stanford.edu/book/export/html/307

bár ők teljesen kitörlik a fájlt, ami security szempontból nem biztos, hogy jó!

Írom a szkriptet, ami megkeresi ezeket a fájlokat és módosítja őket, azonban az ilyen szkript lefutási ideje elég sok, így akinek sürgős, állítsa be kézzel a htaccess-t!

4
0
Törzsmókus képe

sajnos a softaculoust senki nem értesíti a fejleményekről, tehát ha azzal frissítem a drupált, akkor meghal egy laza 500-assal. még emlékeztem, hogy volt ez a para, ezért tudtam, hova nyúljak, de biztos lesz, akinek nem áll össze – tehát aki softaculoust üzemeltet, erre is figyeljen!

0
0
borbelymihaly képe

Nagyon köszönöm a segítséget.

0
0

Borbély Mihály