Как защитить паролем веб-сайт Apache с помощью .htaccess

Безопасность Microsoft Апаш   /   by admin   /   March 18, 2020

Как
ПоСтив Краузе

Последнее обновление

Если вы используете свой веб-сайт с Apache, защита сайта с помощью пароля является простым процессом. Недавно я прошел через процесс на коробке Windows (большинство снимков ниже), однако шаги в значительной степени одинаковы для сайтов Apache для Windows или Linux.

Шаг 1: Настройте свой файл .htaccess

Вся работа будет выполнена с использованием вашего файла .htaccess. Вы можете найти этот файл в корне большинства веб-сайтов Apache.

Скриншот был взят из простой установки WordPress, работающей на Windows 2003 Server:

образ

Файл .htaccess проверяется Apache перед отображением веб-страниц. Обычно он используется для ReWrites или ReDirects, но вы также можете использовать его для использования встроенных функций безопасности Apache.

Итак, первый шаг - добавить несколько параметров в файл. Ниже приведен пример файла .htaccess. (СОВЕТ: Я использую Notepad ++ редактировать большинство PHP и связанных файлов)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Пожалуйста, введите пользователя и PW" AuthType Basic. требуется действительный пользователь

Некоторое объяснение:

AuthUserFile: APACHE требуется расположение файла User / Password. Просто введите полный путь к файлу базы паролей, как показано выше. Пример выше взят из моего окна Windows. Если вы работаете в Linux, это будет что-то вроде: AuthUserFile /full/path/to/.htpasswd

AuthName: Это поле определяет заголовок и текст для всплывающего окна, которое будет запрашивать имя пользователя и PW. Вы можете сделать это все, что вы хотите. Вот пример на моей тестовой коробке:

образ

AuthType: Это поле сообщает Apache, какой тип аутентификации используется. Практически во всех случаях «Basic» просто отлично (и самый распространенный).

Требуется действительный пользователь: Эта последняя команда сообщает Apache, что ВОЗ разрешена. Используя "действительный пользователь“, Вы говорите, что Apache ЛЮБОМ разрешено проходить аутентификацию, если у них есть действительные имя пользователя и пароль.

Если вы предпочитаете быть более точным, вы можете указать конкретного пользователя или пользователей. Эта команда будет выглядеть так:

Требуется пользователь mrgroove groovyguest

В этом случае только пользователям mrgroove и groovyguest будет разрешено входить на защищаемую страницу / каталог (конечно, после предоставления правильного имени пользователя и пароля). Всем другим пользователям (включая действительных) будет отказано в доступе. Если вы хотите разрешить больше пользователей, просто разделите их пробелами.

Итак, теперь, когда у нас есть все настройки конфигурации, вот как должен выглядеть ваш готовый файл .htaccess:

Снимок экрана взят из коробки Windows 2003 Server под управлением WordPress:

groovyPost .htaccess

Шаг 2: Создайте файл .htpasswd

Создание файла .htpasswd - это простой процесс. Файл представляет собой не более чем текстовый файл, содержащий список пользователей и их зашифрованные пароли. Каждая строка пользователя должна быть разделена на свою строку. Лично я просто использую Notepad ++ или Блокнот Windows для создания файла.

Ниже приведен пример файла .htpasswd с двумя пользователями:

образ

Хотя Apache не «требует» от вас шифрования паролей, это простой процесс для систем Windows и Linux.

Windows

Перейдите в папку Apache BIN (обычно находится в C: \ Program Files \ Apache Group \ Apache2bin) и запустите инструмент htpasswd.exe, чтобы сгенерировать строку имени пользователя / пароля в зашифрованном виде MD5. Вы также можете использовать инструмент для создания файла .htpasswd для вас (что бы ни работало ...). Для получения более подробной информации просто выполните переключатель справки из командной строки (htpasswd.exe /?).

Однако почти во всех случаях просто выполните следующую команду:

htpasswd -nb имя пользователя пароль

После выполнения команды инструмент htpasswd.exe выведет строку пользователя с зашифрованным паролем.

На приведенном ниже снимке экрана показан пример выполнения программы htpasswd.exe на Windows 2003 Server.

образ

Получив строку пользователя, скопируйте ее в файл .htpasswd.

Linux:

Перейти к: http://railpix.railfan.net/pwdonly.html создавать свои строки пользователя с зашифрованными паролями. Очень простой процесс.

Шаг 3: Убедитесь, что Apache настроен правильно * необязательно

По умолчанию в Apache включены правильные модули. При этом никогда не помешает быть немного инициативным, плюс это быстрая проверка.

Откройте файл Apache httpd.conf и убедитесь, что модуль AUTH включен:

образ

Если вы обнаружите, что модуль не включен, просто исправьте его, как показано выше. Не забывайте; вам нужно перезапустить Apache, чтобы изменения в вашем httpd.conf вступили в силу.

Это должно заботиться об этом. Все сделано.

Метки:апаш, шифрование, Htaccess, безопасность, окна

Облако тегов
Рейтинг
83
Просмотры
0
Комментарии
YOU MIGHT ALSO LIKE