Just so I'm on the record as saying this... having a secure zone within an unsecured zone is dependent entirely upon the mediation layers.  In other words, the security is 100% reliant on the Apache user restriction model having 0% exploitable bugs.<br>
<br>If /sekrit were moved outside of the Document Root, problems would be dependent on Apache not having a bug in both the user restriction model AND the location model... far more secure.  This is the way that is considered "best practice" for people serving purchased content... so a bug won't allow people direct access to the repository directory.  By having a mediating proxy app that bridges to the secure location outside of the document root, you gain an additional layer.<br>
<br>-Josh<br><br><div class="gmail_quote">On Thu, Nov 10, 2011 at 10:03 AM, Barry Von Ahsen <span dir="ltr"><<a href="mailto:barry@vonahsen.com">barry@vonahsen.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
well, I got it to work by requiring a specific user for /sekrit - not super elegant, but effective<br>
<br>
<br>
-barry<br>
<br>
<br>
On 11/10/2011 8:14 AM, Barry Von Ahsen wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I've got the following <Directory> directives:<br>
<br>
<Directory /home/apache/><br>
EnableMMAP off<br>
EnableSendfile off<br>
</Directory><br>
<Directory /home/apache/sekrit/><br>
Order deny,allow<br>
Deny from all<br>
Allow from (lan)<br>
</Directory><br>
<Directory /home/apache/*><br>
Order deny,allow<br>
deny from all<br>
Allow from (lan)<br>
AuthUserFile (file)<br>
AuthType basic<br>
AuthName "who is it"<br>
Require valid-user<br>
Satisfy any<br>
</Directory><br>
<br>
<br>
so I want /home/apache/sekrit to be LAN only, and /home/apache/anything<br>
else to be basic authenticated, but I can only get it to do one or the<br>
other - either sekrit is 403 and anything else is allowed<br>
unauthenticated, or everything is available when authenticated,<br>
including sekrit<br>
<br>
I've tried to put <Directory /sekrit> both first and second, thinking it<br>
was processed in order, and also within the <VirtualHost>. I tried<br>
<Directory sekrit> then <DirectoryMatch /home/apache/[^sekrit]>. I tried<br>
the suggestions in <a href="http://apache.org/howto/auth" target="_blank">apache.org/howto/auth</a> and howto/access, and I tried<br>
<Directory /home/apache/*> then more restrictive <Files sekrit> and<br>
<Location sekrit> per<br>
<a href="http://httpd.apache.org/docs/2.2/sections.html#mergin" target="_blank">http://httpd.apache.org/docs/<u></u>2.2/sections.html#mergin</a> and I've tried a<br>
deny from all .htaccess in sekrit, and all fail (interestingly, allow<br>
from all .htaccess served the pages even after a failed basic auth<br>
instead of sending 401)<br>
<br>
<br>
it seems like:<br>
<Directory /home/apache/*><br>
require valid-user<br>
</Directory><br>
<VirtualHost><br>
<Directory /home/apache/secret><br>
deny from all<br>
</Directory><br>
</VirtualHost><br>
should do it (and the docs seem to say so)<br>
<br>
<br>
<br>
the easy thing to do is move /sekrit somewhere outside /home/apache, but<br>
there's gotta be a way to do this<br>
<br>
-barry<br>
<br>
<br>
______________________________<u></u>_________________<br>
Cialug mailing list<br>
<a href="mailto:Cialug@cialug.org" target="_blank">Cialug@cialug.org</a><br>
<a href="http://cialug.org/mailman/listinfo/cialug" target="_blank">http://cialug.org/mailman/<u></u>listinfo/cialug</a><br>
</blockquote>
<br>
______________________________<u></u>_________________<br>
Cialug mailing list<br>
<a href="mailto:Cialug@cialug.org" target="_blank">Cialug@cialug.org</a><br>
<a href="http://cialug.org/mailman/listinfo/cialug" target="_blank">http://cialug.org/mailman/<u></u>listinfo/cialug</a><br>
</blockquote></div><br>