Heslo s heslem Chraňte web Apache pomocí .htaccess

Jak

PodleSteve Krause

Poslední aktualizace dne7. května 2018

Pokud provozujete web pomocí Apache, je zabezpečení webu pomocí hesla jednoduchý proces. Nedávno jsem prošel procesem na Windows boxu (většina záběrů níže), ale kroky jsou do značné míry stejné pro Windows nebo Linux Apache.

Krok 1: Nakonfigurujte soubor .htaccess

Veškerá práce bude provedena pomocí vašeho souboru .htaccess. Tento soubor najdete v kořenovém adresáři většiny webových stránek Apache.

Snímek obrazovky byl převzat z vanilkové instalace WordPress spuštěné na Windows 2003 Server:

Před zobrazením webových stránek Apache zkontroluje soubor .htaccess. Obvykle se používá pro ReWrites nebo ReDirects, ale můžete je také použít k využití vestavěných bezpečnostních funkcí Apache.

Prvním krokem je přidání několika parametrů do souboru. Níže je ukázkový soubor .htaccess. (TIP: Používám Poznámkový blok ++ upravit většinu PHP a souvisejícího souboru)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Prosím zadejte User & PW" AuthType Basic. vyžadují platného uživatele

Nějaké vysvětlení:

AuthUserFile: APACHE potřebuje umístění souboru User / Password. Stačí zadat úplnou cestu k souboru databáze hesel, jak je uvedeno výše. Výše uvedený příklad je převzat z mého okna Windows. Pokud používáte Linux, mělo by to být něco jako: AuthUserFile /full/path/to/.htpasswd

Jméno: Toto pole definuje název a text pro vyskakovací okno, které bude vyžadovat uživatelské jméno a PW. Můžete si udělat cokoli, co chcete. Zde je příklad mého testovacího boxu:

Typ ověření: Toto pole řekne Apache, jaký typ autentizace se používá. Téměř ve všech případech je „Základní“ v pořádku (a nejčastější).

Vyžadovat platného uživatele: Tento poslední příkaz umožňuje Apache vědět, kdo je povolen. Používáním "platný uživatel“, říkáte Apache ANYONE je oprávněn se autentizovat, pokud má platné uživatelské jméno a heslo.

Pokud dáváte přednost EXACT, můžete určit konkrétního UŽIVATELE nebo UŽIVATELE. Tento příkaz by vypadal takto:

Vyžadovat uživatele mrgroove groovyguest

V takovém případě by do chráněné stránky / adresáře měli přístup pouze uživatelé mrgroove a groovyguest (samozřejmě po zadání správného uživatelského jména a hesla). Všem ostatním uživatelům (včetně platných) bude odepřen přístup. Pokud chcete povolit více uživatelů, stačí je oddělit mezerami.

Teď, když máme všechna nakonfigurovaná nastavení, zde by měl váš hotový soubor .htaccess vypadat takto:

Snímek obrazovky je převzat z okna systému Windows 2003 Server se systémem WordPress:

Krok 2: Vytvořte soubor .htpasswd

Vytvoření souboru .htpasswd je jednoduchý proces. Soubor není ničím jiným než textovým souborem obsahujícím seznam uživatelů a jejich šifrovaná hesla. Každý řetězec uživatele by měl být oddělen na svůj řádek. Osobně jen používám Poznámkový blok ++ nebo Poznámkový blok systému Windows k vytvoření souboru.

Níže je uveden příklad souboru .htpasswd se dvěma uživateli:

Ačkoli Apache nevyžaduje „šifrování“ hesel, jde o jednoduchý proces pro systémy Windows i Linux.

Okna

Přejděte do složky Apache BIN (obvykle se nachází v C: \ Program Files \ Apache Group \ Apache2bin) a spusťte nástroj htpasswd.exe a vygenerujte MD5 šifrovaný řetězec Username / Password. Tento nástroj můžete také použít k vytvoření souboru .htpasswd pro vás (ať už funguje cokoli ...). Pro všechny podrobnosti stačí spustit přepínač nápovědy z příkazového řádku (htpasswd.exe /?).

Téměř ve všech případech však stačí provést následující příkaz:

htpasswd -nb heslo pro uživatelské jméno

Jakmile je příkaz spuštěn, nástroj htpasswd.exe vyšle řetězec uživatele pomocí šifrovaného hesla.

Screenshot níže je příkladem spuštění nástroje htpasswd.exe na Windows 2003 Server

Až budete mít řetězec uživatelů, zkopírujte jej do svého souboru .htpasswd.

Linux:

Jít do: http://railpix.railfan.net/pwdonly.html vytvořit své uživatelské řetězce pomocí šifrovaných hesel. Velmi jednoduchý proces.

Krok 3: Ověřte, zda je Apache správně nakonfigurován * volitelný

Ve výchozím nastavení má Apache povoleno správné moduly. Jak již bylo řečeno, nikdy neuškodí být proaktivní a je to rychlá „kontrola“.

Otevřete svůj soubor httpd.conf Apache a ověřte, že je povolen modul AUTH:

Pokud zjistíte, že modul není povolen, opravte jej, jak je uvedeno výše. Nezapomeňte; je třeba restartovat Apache, aby se změny ve vašem httpd.conf projevily.

To by se mělo postarat o to. Vše hotovo.

Značky:apache, šifrování, htaccess, bezpečnostní, Okna