Kako geslo Zaščitite spletno mesto Apache z uporabo .htaccess

Kako

AvtorSteve Krause

Nazadnje posodobljeno dne7. maja 2018

Če imate spletno mesto z Apache, je zavarovanje spletnega mesta z geslom preprost postopek. Pred kratkim sem tekel skozi postopek v okencu Windows (večina posnetkov spodaj), vendar so koraki približno enaki za mesta Windows ali Linux Apache.

1. korak: Konfigurirajte datoteko .htaccess

Vsa dela bodo opravljena z datoteko .htaccess. To datoteko najdete v korenu večine spletnih mest Apache.

Posnetek zaslona je bil posnet iz vanilijeve namestitve programa WordPress, ki se izvaja v sistemu Windows 2003 Server:

Pred prikazom spletnih strani datoteko .htaccess preveri Apache. Običajno se uporablja za ReWrites ali ReDirects, vendar ga lahko uporabite tudi za spodbujanje vgrajenih varnostnih funkcij Apache.

Torej, prvi korak je dodati nekaj parametrov v datoteko. Spodaj je primer .htaccess datoteke. (NASVET: Uporabljam beležnica ++ za urejanje večine PHP in sorodnih datotek)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Prosimo, vnesite uporabnika in PW" AuthType Basic. zahtevajo veljavnega uporabnika

Nekaj ​​pojasnila:

AuthUserFile: APACHE potrebuje lokacijo datoteke User / Password. Samo vnesite celotno pot do datoteke z bazo gesla, kot je prikazano zgoraj. Zgornji primer je vzet iz mojega okna Windows. Če imate nameščen Linux, bi bilo to tako: AuthUserFile /full/path/to/.htpasswd

AuthName: To polje določa naslov in besedilo za pojavno okno, ki bo zahtevalo Uporabniško ime in PW. To lahko naredite karkoli, kar želite. Tu je primer mojega testnega polja:

AuthType: To polje pove Apacheu, katero vrsto overjanja uporablja. V skoraj vseh primerih je "Basic" čisto v redu (in najpogostejši).

Zahtevajte veljavnega uporabnika: S tem zadnjim ukazom Apache ve, kdo je dovoljen. Z uporabo "veljaven uporabnik“, pravite, da Apache VSAKO dovoli avtentikacijo, če ima veljavno uporabniško ime in geslo.

Če želite biti bolj točni, lahko določite določenega USER ali USERS. Ta ukaz bi izgledal tako:

Zahtevaj uporabnika mrgroove groovyguest

V tem primeru lahko samo uporabniki mrgroove in groovyguest vstopijo v stran / imenik, ki ga zaščitite (seveda ko navedete pravilno uporabniško ime in geslo). Vsem drugim uporabnikom (vključno z veljavnimi) bo dostop zavrnjen. Če želite dovoliti več uporabnikom, jih le ločite s presledki.

Zdaj, ko so vse nastavitve konfiguracije narejene, je treba videti, kako izgleda vaša končana .htaccess datoteka:

Posnetek zaslona je vzet iz okna Server 2003 s sistemom WordPress:

2. korak: Ustvarite datoteko .htpasswd

Ustvarjanje .htpasswd datoteke je preprost postopek. Datoteka ni nič drugega kot besedilna datoteka, ki vsebuje seznam uporabnikov in njihova šifrirana gesla. Vsak uporabniški niz mora biti ločen v svoji vrstici. Osebno samo uporabljam beležnica ++ ali Windows Beležnica za ustvarjanje datoteke.

Spodaj je primer .htpasswd datoteke z dvema uporabnikoma:

Čeprav Apache od vas ne zahteva, da šifrirate gesla, je to preprost postopek za Windows in Linux sisteme.

Windows

Pomaknite se do mape BIN Apache (običajno jo najdemo na C: \ Program Files \ Apache Group \ Apache2bin) in izvedite orodje htpasswd.exe, da ustvarite šifrirano niz uporabniškega imena / gesla za MD5. Z orodjem lahko ustvarite tudi datoteko .htpasswd za vas (kar deluje…). Za vse podrobnosti preprosto izvedite stikalo za pomoč iz ukazne vrstice (htpasswd.exe /?).

V skoraj vseh primerih pa samo izvedite naslednji ukaz:

htpasswd -nb geslo za uporabniško ime

Ko je ukaz izveden, bo orodje htpasswd.exe oddalo uporabniški niz z šifriranim geslom.

Spodnja slika je primer izvajanja orodja htpasswd.exe v operacijskem sistemu Windows 2003 Server

Ko imate uporabniški niz, ga kopirajte v datoteko .htpasswd.

Linux:

Pojdi do: http://railpix.railfan.net/pwdonly.html za ustvarjanje uporabniških nizov s šifriranimi gesli. Zelo preprost postopek.

3. korak: Preverite, ali je Apache pravilno konfiguriran * neobvezno

Apache ima privzeto omogočene pravilne module. Kot rečeno, nikoli ne škodi biti malo proaktiven, poleg tega je hiter "pregled".

Odprite datoteko Apache httpd.conf in preverite, ali je modul AUTH omogočen:

Če ugotovite, da modul ni omogočen, ga popravite, kot je prikazano zgoraj. Ne pozabite; za začetek veljavnosti Apache morate znova zagnati, da začnejo veljati spremembe v vašem httpd.conf.

To bi moralo poskrbeti za to. Končano.

Oznake:apache, šifriranje, htaccess, varnost, okna