כיצד להגן על סיסמת אתר Apache באמצעות .htaccess

אם אתה מנהל את האתר שלך עם אפאצ 'י,תהליך אבטחת האתר באמצעות סיסמא הוא תהליך פשוט. לאחרונה עברתי את התהליך על קופסת חלונות (רוב התמונות למטה) אולם הצעדים זהים כמעט לאתרי Windows או Linux Apache.

שלב 1: קבע את התצורה של קובץ ה- .htaccess שלך

כל העבודות יבוצעו באמצעות קובץ ה- .htaccess שלך. אתה יכול למצוא קובץ זה בשורש מרבית אתרי האפצ'י.

צילום המסך נלקח מהתקנת וניל של וורדפרס הפועלת על שרת Windows 2003:

קובץ ה- .htaccess נבדק על ידי Apache לפני הצגת דפי אינטרנט. בדרך כלל זה משמש ל- ReWrites או ReDirects, אולם אתה יכול להשתמש בו גם כדי למנף את תכונות האבטחה המובנות של אפאצ'י.

אז, הצעד הראשון הוא להוסיף כמה פרמטרים לקובץ. להלן דוגמה לקובץ .htaccess. (טיפ: אני משתמש בפנקס רשימות ++ כדי לערוך את רוב ה- PHP והקובץ הקשור אליו)

AuthUserFile c:apachesecurity.htpasswd
AuthName "Please Enter User & PW"
AuthType Basic
require valid-user

הסבר כלשהו:

קובץ AuthUserFile: APACHE זקוק למיקום המשתמש / סיסמאקובץ. פשוט הזן את הנתיב המלא לקובץ מסד הנתונים שלך כמוצג למעלה. הדוגמה שלמעלה לקוחה מתיבת Windows שלי. אם אתה מנהל Linux, זה יהיה משהו כמו: AuthUserFile /full/path/to/.htpasswd

שם אימות: שדה זה מגדיר את הכותרת והטקסט של תיבת הקופץ שתבקש את שם המשתמש ואת PW. אתה יכול לעשות את כל מה שאתה רוצה. הנה דוגמא בתיבת הבדיקה שלי:

סוג אותנטי: שדה זה מורה לאפאצ'י באיזה סוג אימות משתמשים. כמעט בכל המקרים, "בסיסי" פשוט בסדר (והנפוץ ביותר).

דרוש משתמש חוקי: פקודה אחרונה זו מאפשרת לאפצ'י לדעת מי מותר. על ידי שימוש ב "משתמש תקף", אתה אומר לאפאצ'י מישהו רשאי לאמת אם יש להם שם משתמש וסיסמא תקפים.

אם אתה מעדיף להיות יותר מדויק, אתה יכול לציין USER או USERS ספציפיים. פקודה זו תיראה כך:

Require user mrgroove groovyguest

במקרה זה, רק המשתמשים mgrgroove ו-groovyguest יורשה להכנס לדף / לספרייה בה אתה מגן (לאחר שמספקים שם משתמש וסיסמא נכונים כמובן). כל המשתמשים האחרים (כולל משתמשים תקפים) יימנעו מהם גישה. אם אתה רוצה לאפשר למשתמשים נוספים, פשוט הפריד אותם עם רווחים.

אז עכשיו, לאחר שביצענו את כל הגדרות התצורה, הנה איך צריך להראות קובץ ה- .htaccess שסיים:

צילום מסך נלקח מתיבת שרת Windows 2003 המריצה את WordPress:

שלב 2: צור את קובץ ה- .htpasswd

יצירת קובץ ה- .htpasswd הוא תהליך פשוט. הקובץ אינו אלא קובץ טקסט המכיל רשימת משתמשים והסיסמאות המוצפנות שלהם. יש להפריד כל מחרוזת משתמש לקו שלו. באופן אישי, אני פשוט משתמש ב- Notepad ++ או ב- Windows Notepad כדי ליצור את הקובץ.

להלן דוגמה לקובץ .htpasswd עם שני משתמשים:

למרות שאפאצ'י לא "מחייב" אותך להצפין את הסיסמאות, זהו תהליך פשוט עבור מערכות Windows וגם לינוקס.

חלונות

נווט אל תיקיית ה- Apache BIN שלך (נמצא בדרך כללב- C: Program FilesApache GroupApache2bin) והפעל את הכלי htpasswd.exe כדי ליצור מחרוזת שם משתמש / סיסמא מוצפנת MD5. אתה יכול גם להשתמש בכלי כדי ליצור את קובץ ה- .htpasswd עבורך (מה שעובד ...). לכל הפרטים, פשוט בצע את מתג העזרה משורת הפקודה (htpasswd.exe /?).

כמעט בכל המקרים, פשוט בצע את הפקודה הבאה:

htpasswd -nb username password

לאחר ביצוע הפקודה, הכלי htpasswd.exe יפיק את מחרוזת המשתמש עם הצפנה של הסיסמה.

צילום מסך להלן הוא דוגמה להפעלת הכלי htpasswd.exe ב- Windows 2003 Server

לאחר שיש לך את מחרוזת המשתמש, העתק אותו לקובץ .htpasswd שלך.

לינוקס:

Goto: http://railpix.railfan.net/pwdonly.html כדי ליצור מחרוזות המשתמש שלך עם סיסמאות מוצפנות. תהליך פשוט מאוד.

שלב 3: ודא שאפצ'י מוגדר כראוי * לא חובה

כברירת מחדל, לאפאצ'י מופעלים המודולים הנכונים. עם זאת, זה אף פעם לא כואב להיות קצת יזום פלוס זה "בדיקה" מהירה.

פתח את קובץ ה- Apache httpd.conf וודא שמודול ה- AUTH מופעל:

אם אתה מוצא שהמודול אינו מופעל, פשוט תקן אותו כמוצג למעלה. אל תשכח; עליך להפעיל מחדש את אפאצ 'י כדי שינויים בתכנית httpd.conf ייכנסו לתוקף.

זה אמור לטפל בזה. הכל בוצע.

תגיות: Apache, הצפנה, HTAccess, אבטחה, Windows