
Just so I'm on the record as saying this... having a secure zone within an unsecured zone is dependent entirely upon the mediation layers.  In other words, the security is 100% reliant on the Apache user restriction model having 0% exploitable bugs.<br>

<br>If /sekrit were moved outside of the Document Root, problems would be dependent on Apache not having a bug in both the user restriction model AND the location model... far more secure.  This is the way that is considered "best practice" for people serving purchased content... so a bug won't allow people direct access to the repository directory.  By having a mediating proxy app that bridges to the secure location outside of the document root, you gain an additional layer.<br>

<br>-Josh<br><br><div class="gmail_quote">On Thu, Nov 10, 2011 at 10:03 AM, Barry Von Ahsen <span dir="ltr"><<a href="mailto:barry@vonahsen.com">barry@vonahsen.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

well, I got it to work by requiring a specific user for /sekrit - not super elegant, but effective<br>

<br>

<br>

-barry<br>

<br>

<br>

On 11/10/2011 8:14 AM, Barry Von Ahsen wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

I've got the following <Directory> directives:<br>

<br>

<Directory /home/apache/><br>

EnableMMAP off<br>

EnableSendfile off<br>

</Directory><br>

<Directory /home/apache/sekrit/><br>

Order deny,allow<br>

Deny from all<br>

Allow from (lan)<br>

</Directory><br>

<Directory /home/apache/*><br>

Order deny,allow<br>

deny from all<br>

Allow from (lan)<br>

AuthUserFile (file)<br>

AuthType basic<br>

AuthName "who is it"<br>

Require valid-user<br>

Satisfy any<br>

</Directory><br>

<br>

<br>

so I want /home/apache/sekrit to be LAN only, and /home/apache/anything<br>

else to be basic authenticated, but I can only get it to do one or the<br>

other - either sekrit is 403 and anything else is allowed<br>

unauthenticated, or everything is available when authenticated,<br>

including sekrit<br>

<br>

I've tried to put <Directory /sekrit> both first and second, thinking it<br>

was processed in order, and also within the <VirtualHost>. I tried<br>

<Directory sekrit> then <DirectoryMatch /home/apache/[^sekrit]>. I tried<br>

the suggestions in <a href="http://apache.org/howto/auth" target="_blank">apache.org/howto/auth</a> and howto/access, and I tried<br>

<Directory /home/apache/*> then more restrictive <Files sekrit> and<br>

<Location sekrit> per<br>

<a href="http://httpd.apache.org/docs/2.2/sections.html#mergin" target="_blank">http://httpd.apache.org/docs/<u></u>2.2/sections.html#mergin</a> and I've tried a<br>

deny from all .htaccess in sekrit, and all fail (interestingly, allow<br>

from all .htaccess served the pages even after a failed basic auth<br>

instead of sending 401)<br>

<br>

<br>

it seems like:<br>

<Directory /home/apache/*><br>

require valid-user<br>

</Directory><br>

<VirtualHost><br>

<Directory /home/apache/secret><br>

deny from all<br>

</Directory><br>

</VirtualHost><br>

should do it (and the docs seem to say so)<br>

<br>

<br>

<br>

the easy thing to do is move /sekrit somewhere outside /home/apache, but<br>

there's gotta be a way to do this<br>

<br>

-barry<br>

<br>

<br>

______________________________<u></u>_________________<br>

Cialug mailing list<br>

<a href="mailto:Cialug@cialug.org" target="_blank">Cialug@cialug.org</a><br>

<a href="http://cialug.org/mailman/listinfo/cialug" target="_blank">http://cialug.org/mailman/<u></u>listinfo/cialug</a><br>

</blockquote>

<br>

______________________________<u></u>_________________<br>

Cialug mailing list<br>

<a href="mailto:Cialug@cialug.org" target="_blank">Cialug@cialug.org</a><br>

<a href="http://cialug.org/mailman/listinfo/cialug" target="_blank">http://cialug.org/mailman/<u></u>listinfo/cialug</a><br>

</blockquote></div><br>