Prístupové heslo Chráňte webovú stránku Apache pomocou .htaccess

Ako

podľaSteve Krause

Posledná aktualizácia dňa7. mája 2018

Ak prevádzkujete svoj web pomocou servera Apache, zabezpečenie stránky pomocou hesla je jednoduchý proces. Nedávno som prešiel týmto procesom na Windows boxe (väčšina záberov nižšie), ale kroky sú do značnej miery rovnaké pre stránky Windows alebo Linux Apache.

Krok 1: Nakonfigurujte súbor .htaccess

Všetky práce sa vykonajú pomocou súboru .htaccess. Tento súbor nájdete v koreňovom adresári väčšiny webových serverov Apache.

Snímka obrazovky bola prevzatá z vanilkovej inštalácie programu WordPress so systémom Windows 2003 Server:

Pred zobrazením webových stránok Apache skontroluje súbor .htaccess. Zvyčajne sa používa pre ReWrites alebo ReDirects, môžete ich však použiť aj na využitie zabudovaných bezpečnostných funkcií Apache.

Prvým krokom je pridanie niekoľkých parametrov do súboru. Nižšie je uvedený ukážkový súbor .htaccess. (TIP: Používam notepad ++ upraviť väčšinu PHP a súvisiaci súbor)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Zadajte User & PW" AuthType Basic. vyžadovať platného používateľa

Niektoré vysvetlenie:

AuthUserFile: APACHE potrebuje umiestnenie súboru User / Password. Stačí zadať úplnú cestu k súboru databázy hesiel, ako je uvedené vyššie. Príklad uvedený vyššie je prevzatý z môjho okna systému Windows. Ak používate Linux, malo by to byť niečo ako: AuthUserFile /full/path/to/.htpasswd

AuthName: Toto pole definuje názov a text pre vyskakovacie okno, ktoré bude vyžadovať užívateľské meno a PW. Môžete si urobiť čokoľvek, čo chcete. Tu je príklad môjho testovacieho boxu:

AuthType: Toto pole hovorí Apache, aký typ overovania sa používa. Takmer vo všetkých prípadoch je „Základné“ v poriadku (a najbežnejšie).

Vyžadovať platného používateľa: Tento posledný príkaz informuje Apache o tom, kto je povolený. Používaním "platí-user“, hovoríte Apache ANYONE je oprávnený sa autentifikovať, ak má platné užívateľské meno a heslo.

Ak chcete byť presnejší, môžete určiť konkrétneho UŽÍVATEĽA alebo UŽÍVATEĽOV. Tento príkaz by vyzeral takto:

Vyžadovať používateľa mrgroove groovyguest

V takom prípade by mohli vstupovať na chránenú stránku / adresár iba používatelia mrgroove a groovyguest (samozrejme po správnom používateľskom mene a hesle). Všetkým ostatným používateľom (vrátane platných) bude zamietnutý prístup. Ak chcete povoliť viac používateľov, oddeľte ich medzerami.

Teraz, keď máme všetky konfiguračné nastavenia, tu by mal vyzerať váš dokončený súbor .htaccess:

Snímka obrazovky je prevzatá zo systému Windows 2003 Server, na ktorom je spustený WordPress:

Krok 2: Vytvorte súbor .htpasswd

Vytvorenie súboru .htpasswd je jednoduchý proces. Tento súbor nie je nič iné ako textový súbor obsahujúci zoznam používateľov a ich šifrovaných hesiel. Každý reťazec používateľa by mal byť oddelený na svojom riadku. Osobne používam notepad ++ alebo Poznámkový blok systému Windows na vytvorenie súboru.

Nižšie je uvedený príklad .htpasswd súboru s dvoma používateľmi:

Aj keď Apache nevyžaduje „šifrovanie“ hesiel, ide o jednoduchý proces pre systémy Windows aj Linux.

windows

Prejdite do priečinka Apache BIN (zvyčajne sa nachádza v priečinku C: \ Program Files \ Apache Group \ Apache2bin) a spustite nástroj htpasswd.exe, aby ste vygenerovali MD5 šifrovaný reťazec Username / Password. Tento nástroj môžete tiež použiť na vytvorenie súboru .htpasswd pre vás (nech už funguje čokoľvek ...). Pre všetky podrobnosti stačí spustiť prepínač pomoci z príkazového riadku (htpasswd.exe /?).

Takmer vo všetkých prípadoch stačí vykonať nasledujúci príkaz:

htpasswd -nb heslo pre užívateľské meno

Po vykonaní príkazu bude nástroj htpasswd.exe vydávať reťazec používateľa so šifrovaným heslom.

Snímka obrazovky nižšie je príkladom spustenia nástroja htpasswd.exe v systéme Windows 2003 Server

Akonáhle budete mať reťazec používateľov, skopírujte ho do súboru .htpasswd.

linux:

Ísť do: http://railpix.railfan.net/pwdonly.html a vytvorte si reťazce používateľov pomocou šifrovaných hesiel. Veľmi jednoduchý postup.

Krok 3: Overte, či je Apache správne nakonfigurovaný * voliteľný

V predvolenom nastavení má Apache povolené moduly. Ako už bolo povedané, nikdy neuškodí byť proaktívny a je to rýchla „kontrola“.

Otvorte svoj súbor Apache httpd.conf a overte, či je povolený modul AUTH:

Ak zistíte, že modul nie je povolený, opravte ho podľa obrázka vyššie. Nezabudnite; aby sa zmeny vo vašom httpd.conf prejavili, musíte reštartovať Apache.

To by sa malo postarať o to. Všetko hotové.

Tagy:apache, šifrovanie, htaccess, zabezpečenia, windows