Jak heslem chránit web Apache pomocí .htaccess
Pokud provozujete svůj web s Apache,zabezpečení webu pomocí hesla je jednoduchý proces. Nedávno jsem prošel tímto procesem na Windows boxu (většina záběrů níže), ale kroky jsou do značné míry stejné pro weby Windows nebo Linux Apache.
Krok 1: Nakonfigurujte soubor .htaccess
Veškerá práce bude provedena pomocí vašeho souboru .htaccess. Tento soubor najdete v kořenovém adresáři většiny webových stránek Apache.
Snímek obrazovky byl převzat z vanilkové instalace WordPress spuštěné na Windows 2003 Server:

Před zobrazením webových stránek Apache zkontroluje soubor .htaccess. Obvykle se používá pro ReWrites nebo ReDirects, ale můžete je také použít k využití vestavěných bezpečnostních funkcí Apache.
Prvním krokem je přidání několika parametrů do souboru. Níže je ukázkový soubor .htaccess. (TIP: K úpravě většiny PHP a souvisejících souborů používám Poznámkový blok ++)
AuthUserFile c:apachesecurity.htpasswd AuthName "Please Enter User & PW" AuthType Basic require valid-user
Nějaké vysvětlení:
AuthUserFile: APACHE potřebuje umístění uživatele / heslasoubor. Stačí zadat úplnou cestu k souboru databáze hesel, jak je uvedeno výše. Výše uvedený příklad je převzat z mého okna systému Windows. Pokud používáte Linux, bude to něco jako: AuthUserFile /full/path/to/.htpasswd
Jméno: Toto pole definuje název a text pro vyskakovací okno, které bude vyžadovat uživatelské jméno a PW. Můžete si udělat cokoli, co chcete. Zde je příklad mého testovacího boxu:

Typ ověření: Toto pole řekne Apache, jaký typ autentizace se používá. Téměř ve všech případech je „Základní“ v pořádku (a nejčastější).
Vyžadovat platného uživatele: Tento poslední příkaz informuje Apache o tom, kdo je povolen. Používáním "platný uživatel„, říkáte Apache ANYONE je oprávněn se autentizovat, pokud má platné uživatelské jméno a heslo.
Pokud dáváte přednost EXACT, můžete určit konkrétního UŽIVATELE nebo UŽIVATELE. Tento příkaz by vypadal takto:
Require user mrgroove groovyguest
V tomto případě pouze uživatelé mrgroove agroovyguest bude moci vstoupit na stránku / adresář, který chráníte (samozřejmě po správném uživatelském jménu a hesle). Všem ostatním uživatelům (včetně platných) bude odepřen přístup. Pokud chcete povolit více uživatelů, stačí je oddělit mezerami.
Teď, když máme všechna nakonfigurovaná nastavení, zde by měl vypadat váš hotový soubor .htaccess:
Snímek obrazovky je převzat z krabice systému Windows 2003 Server se systémem WordPress:

Krok 2: Vytvořte soubor .htpasswd
Vytvoření souboru .htpasswd je jednoduchý proces. Soubor není ničím jiným než textovým souborem obsahujícím seznam uživatelů a jejich šifrovaná hesla. Každý řetězec uživatele by měl být oddělen na svůj řádek. Osobně k vytvoření souboru používám pouze Poznámkový blok ++ nebo Windows Poznámkový blok.
Níže je uveden příklad souboru .htpasswd se dvěma uživateli:

Ačkoli Apache nevyžaduje „šifrování“ hesel, jde o jednoduchý proces pro systémy Windows i Linux.
Okna
Přejděte do složky Apache BIN (obvykle se nachází)v C: Program FilesApache GroupApache2bin) a spusťte nástroj htpasswd.exe pro vygenerování MD5 šifrovaného řetězce Username / Password. Tento nástroj můžete také použít k vytvoření souboru .htpasswd pro vás (ať už funguje cokoli ...). Pro všechny podrobnosti stačí spustit přepínač nápovědy z příkazového řádku (htpasswd.exe /?).
Téměř ve všech případech však stačí provést následující příkaz:
htpasswd -nb username password
Jakmile je příkaz spuštěn, nástroj htpasswd.exe vyšle řetězec uživatele pomocí šifrovaného hesla.
Screenshot níže je příkladem spuštění nástroje htpasswd.exe na Windows 2003 Server

Až budete mít řetězec uživatelů, zkopírujte jej do svého souboru .htpasswd.
Linux:
Přejít na: http://railpix.railfan.net/pwdonly.html a vytvořte si uživatelské řetězce s šifrovanými hesly. Velmi jednoduchý proces.
Krok 3: Ověřte, zda je Apache správně nakonfigurován * volitelný
Ve výchozím nastavení má Apache povoleno správné moduly. Jak už bylo řečeno, nikdy neuškodí být proaktivní a je to rychlá „kontrola“.
Otevřete svůj soubor Apache httpd.conf a ověřte, že je povolen modul AUTH:

Pokud zjistíte, že modul není povolen, opravte jej, jak je uvedeno výše. Nezapomeňte; je třeba restartovat Apache, aby se změny ve vašem httpd.conf projevily.
To by se mělo postarat o to. Vše hotovo.
Značky: apache, šifrování, htaccess, bezpečnost, Windows
Zanechat komentář