Πώς να προστατεύσετε με κωδικό πρόσβασης έναν ιστό Apache χρησιμοποιώντας το .htaccess

Εάν εκτελείτε τον ιστότοπό σας με το Apache,η διασφάλιση του ιστοχώρου με κωδικό πρόσβασης είναι μια απλή διαδικασία. Πρόσφατα έτρεξα τη διαδικασία σε ένα παράθυρο των Windows (πλειοψηφία των πυροβολισμών παρακάτω), ωστόσο τα βήματα είναι σχεδόν τα ίδια για τους ιστότοπους Apache των Windows ή Linux.

Βήμα 1: Διαμορφώστε το αρχείο .htaccess

Όλες οι εργασίες θα γίνουν χρησιμοποιώντας το αρχείο .htaccess. Μπορείτε να βρείτε αυτό το αρχείο στη ρίζα των περισσότερων ιστότοπων Apache.

Το στιγμιότυπο οθόνης λήφθηκε από μια εγκατάσταση βανίλιας του WordPress που εκτελείται σε Windows 2003 Server:

Το αρχείο .htaccess ελέγχεται από το Apache πριν εμφανίσει τις ιστοσελίδες. Συνήθως χρησιμοποιείται για ReWrites ή ReDirects, ωστόσο μπορείτε επίσης να το χρησιμοποιήσετε για να αξιοποιήσετε τις ενσωματωμένες δυνατότητες ασφαλείας του Apache.

Έτσι, το πρώτο βήμα είναι να προσθέσετε μερικές παραμέτρους στο αρχείο. Παρακάτω είναι ένα δείγμα αρχείου .htaccess. (ΣΥΜΒΟΥΛΗ: Χρησιμοποιώ σημειωματάριο ++ για την επεξεργασία των περισσότερων αρχείων PHP και σχετικών αρχείων)

AuthUserFile c:apachesecurity.htpasswd
AuthName "Please Enter User & PW"
AuthType Basic
require valid-user

Κάποια εξήγηση:

AuthUserFile: Το APACHE χρειάζεται τη θέση του Χρήστη / Κωδικούαρχείο. Απλά εισάγετε την πλήρη διαδρομή στο αρχείο βάσης δεδομένων κωδικών πρόσβασης όπως φαίνεται παραπάνω. Το παραπάνω παράδειγμα λαμβάνεται από το πλαίσιο των Windows μου. Εάν τρέχετε το Linux, θα ήταν κάτι σαν: AuthUserFile /full/path/to/.htpasswd

AuthName: Αυτό το πεδίο ορίζει το Τίτλο και το Κείμενο για το αναδυόμενο παράθυρο το οποίο θα ζητά το Όνομα Χρήστη και το PW. Μπορείτε να κάνετε αυτό που θέλετε. Ακολουθεί ένα παράδειγμα στο κουτί δοκιμής μου:

AuthType: Αυτό το πεδίο λέει στο Apache τον τύπο του ελέγχου ταυτότητας που χρησιμοποιείται. Σε όλες σχεδόν τις περιπτώσεις, το "Basic" είναι μια χαρά (και η πιο κοινή).

Απαίτηση έγκυρου χρήστη: Αυτή η τελευταία εντολή επιτρέπει στο Apache να γνωρίζει ποιος επιτρέπεται. Με τη χρήση "έγκυρο χρήστη", λέτε ότι ο χρήστης Apache ANYONE δικαιούται να πιστοποιήσει την ταυτότητά του αν έχει έγκυρο όνομα χρήστη και κωδικό πρόσβασης.

Εάν προτιμάτε να είστε πιο ακριβείς, μπορείτε να καθορίσετε έναν συγκεκριμένο ΧΡΗΣΤΗ ή ΧΡΗΣΤΕΣ. Αυτή η εντολή θα μοιάζει με:

Require user mrgroove groovyguest

Στην περίπτωση αυτή, μόνο οι χρήστες mrgroove καιτο groovyguest θα επιτρέπεται να εισέλθει στη σελίδα / κατάλογο που προστατεύετε (αφού παράσχετε φυσικά το σωστό όνομα χρήστη και κωδικό πρόσβασης). Όλοι οι άλλοι χρήστες (συμπεριλαμβανομένων των έγκυρων) θα στερούνται πρόσβασης. Αν θέλετε να επιτρέψετε περισσότερους χρήστες, απλά διαχωρίστε τα με κενά.

Έτσι, τώρα που έχουμε όλες τις ρυθμίσεις ρυθμίσεων που έγιναν, εδώ πρέπει να φαίνεται το τελικό αρχείο .htaccess:

Το στιγμιότυπο οθόνης λαμβάνεται από ένα πλαίσιο Windows 2003 Server που εκτελεί WordPress:

Βήμα 2: Δημιουργήστε το αρχείο .htpasswd

Η δημιουργία του αρχείου .htpasswd είναι μια απλή διαδικασία. Το αρχείο δεν είναι τίποτα περισσότερο από ένα αρχείο κειμένου που περιέχει μια λίστα χρηστών και τους κρυπτογραφημένους κωδικούς πρόσβασης τους. Κάθε συμβολοσειρά χρήστη πρέπει να διαχωριστεί στη γραμμή του. Προσωπικά, απλά χρησιμοποιώ σημειωματάριο ++ ή σημειωματάριο των Windows για τη δημιουργία του αρχείου.

Η λήψη παρακάτω είναι ένα παράδειγμα του αρχείου .htpasswd με δύο χρήστες:

Παρόλο που η Apache δεν σας «απαιτεί» να κρυπτογραφήσετε τους κωδικούς πρόσβασης, είναι μια απλή διαδικασία τόσο για τα Windows όσο και για τα Συστήματα Linux.

Windows

Πλοηγηθείτε στο φάκελο Apache BIN (συνήθως βρέθηκεστο C: Program FilesApache GroupApache2bin) και εκτελέστε το εργαλείο htpasswd.exe για να δημιουργήσετε μια κρυπτογραφημένη συμβολοσειρά Username / Password MD5. Μπορείτε επίσης να χρησιμοποιήσετε το εργαλείο για να δημιουργήσετε το αρχείο .htpasswd για εσάς (ό, τι συμβαίνει ...). Για όλες τις λεπτομέρειες, απλώς εκτελέστε τη βοήθεια αλλαγής από τη γραμμή εντολών (htpasswd.exe /?).

Σε όλες σχεδόν τις περιπτώσεις, ωστόσο, απλά εκτελέστε την ακόλουθη εντολή:

htpasswd -nb username password

Μόλις εκτελεστεί η εντολή, το εργαλείο htpasswd.exe θα εξάγει τη συμβολοσειρά χρήστη με κρυπτογραφημένο τον κωδικό πρόσβασης.

Η παρακάτω εικόνα οθόνης αποτελεί παράδειγμα εκτέλεσης του εργαλείου htpasswd.exe στον Windows 2003 Server

Μόλις έχετε τον String Χρήστη, αντιγράψτε το στο αρχείο .htpasswd.

Linux:

Goto: http://railpix.railfan.net/pwdonly.html για να δημιουργήσετε τις συμβολοσειρές σας χρήστη με κρυπτογραφημένους κωδικούς πρόσβασης. Πολύ απλή διαδικασία.

Βήμα 3: Βεβαιωθείτε ότι το Apache έχει ρυθμιστεί σωστά * προαιρετικά

Από προεπιλογή, το Apache έχει τις σωστές Ενότητες ενεργοποιημένες. Τούτου λεχθέντος, ποτέ δεν πονάει να είναι λίγο proactive plus είναι ένας γρήγορος "έλεγχος".

Ανοίξτε το αρχείο Apache httpd.conf και επιβεβαιώστε ότι είναι ενεργοποιημένη η ενότητα AUTH:

Εάν διαπιστώσετε ότι η ενότητα δεν είναι ενεργοποιημένη, απλά τη διορθώστε όπως φαίνεται παραπάνω. Μην ξεχνάτε. πρέπει να κάνετε επανεκκίνηση του Apache για να αλλάξετε το httpd.conf για να τεθεί σε ισχύ.

Αυτό πρέπει να το φροντίσει. Ολα τελείωσαν.

Ετικέτες: apache, κρυπτογράφηση, htaccess, ασφάλεια, παράθυρα