Jak zabezpieczyć hasłem stronę internetową Apache przy użyciu .htaccess
Jeśli prowadzisz witrynę z Apache,zabezpieczenie strony hasłem to prosty proces. Niedawno przeprowadziłem ten proces na komputerze z systemem Windows (większość zdjęć poniżej), jednak kroki są prawie takie same dla witryn Windows lub Linux Apache.
Krok 1: Skonfiguruj plik .htaccess
Cała praca zostanie wykonana przy użyciu pliku .htaccess. Ten plik można znaleźć w katalogu głównym większości witryn Apache.
Zrzut ekranu pochodzi z waniliowej instalacji WordPress działającej na systemie Windows 2003 Server:

Plik .htaccess jest sprawdzany przez Apache przed wyświetleniem stron internetowych. Zwykle jest używany do ReWrites lub ReDirects, ale możesz go również użyć do wykorzystania wbudowanych funkcji bezpieczeństwa Apache.
Pierwszym krokiem jest dodanie kilku parametrów do pliku. Poniżej znajduje się przykładowy plik .htaccess. (WSKAZÓWKA: Używam notatnika ++ do edycji większości PHP i powiązanych plików)
AuthUserFile c:apachesecurity.htpasswd AuthName "Please Enter User & PW" AuthType Basic require valid-user
Niektóre wyjaśnienia:
AuthUserFile: APACHE potrzebuje lokalizacji Użytkownika / Hasłaplik. Wystarczy wpisać pełną ścieżkę do pliku bazy danych haseł, jak pokazano powyżej. Powyższy przykład pochodzi z mojego okna Windows. Jeśli używasz Linuksa, byłoby to coś takiego: AuthUserFile /full/path/to/.htpasswd
AuthName: To pole definiuje tytuł i tekst dla wyskakującego okienka, które będzie wymagało nazwy użytkownika i PW. Możesz zrobić to WSZYSTKO, co chcesz. Oto przykład na moim polu testowym:

Typ uwierzytelniania: To pole informuje Apache, jaki typ uwierzytelnienia jest używany. W prawie wszystkich przypadkach „Podstawowy” jest w porządku (i najczęściej).
Wymagaj ważnego użytkownika: To ostatnie polecenie informuje Apache, że WHO jest dozwolone. Używając "ważny użytkownik„, informujesz, że Apache KAŻDY może się uwierzytelnić, jeśli ma prawidłową nazwę użytkownika i hasło.
Jeśli wolisz być bardziej DOKŁADNY, możesz określić konkretnego UŻYTKOWNIKA lub UŻYTKOWNIKÓW. Ta komenda wyglądałaby następująco:
Require user mrgroove groovyguest
W tym przypadku tylko użytkownicy mrgroove iGroovyguest będzie mógł wejść do chronionej strony / katalogu (oczywiście po podaniu prawidłowej nazwy użytkownika i hasła). Wszystkim innym użytkownikom (w tym ważnym) odmówiono dostępu. Jeśli chcesz zezwolić większej liczbie użytkowników, po prostu oddziel ich spacjami.
Teraz, gdy mamy już skonfigurowane wszystkie ustawienia konfiguracji, oto jak powinien wyglądać gotowy plik .htaccess:
Zrzut ekranu pochodzi z systemu Windows 2003 Server z systemem WordPress:

Krok 2: Utwórz plik .htpasswd
Utworzenie pliku .htpasswd to prosty proces. Plik jest niczym innym jak plikiem tekstowym zawierającym listę Użytkowników i ich zaszyfrowane hasła. Każdy ciąg użytkownika powinien być rozdzielony na jego linię. Osobiście po prostu używam notatnika ++ lub Windows Notatnika, aby utworzyć plik.
Poniżej pokazano przykładowy plik .htpasswd z dwoma użytkownikami:

Chociaż Apache nie „wymaga” od Ciebie szyfrowania haseł, jest to prosty proces dla systemów Windows i Linux.
Windows
Przejdź do folderu BIN Apache (zwykle znajduje sięat C: Program FilesApache GroupApache2bin) i uruchom narzędzie htpasswd.exe, aby wygenerować ciąg zaszyfrowanej nazwy użytkownika / hasła MD5. Możesz także użyć tego narzędzia do utworzenia pliku .htpasswd (cokolwiek działa…). Aby uzyskać wszystkie szczegóły, po prostu wykonaj przełączenie pomocy z wiersza polecenia (htpasswd.exe /?).
Jednak prawie we wszystkich przypadkach wystarczy wykonać następujące polecenie:
htpasswd -nb username password
Po wykonaniu polecenia narzędzie htpasswd.exe wyśle ciąg użytkownika z zaszyfrowanym hasłem.
Zrzut ekranu poniżej to przykład wykonania narzędzia htpasswd.exe w systemie Windows 2003 Server

Po uzyskaniu ciągu użytkownika skopiuj go do pliku .htpasswd.
Linux:
Idź do: http://railpix.railfan.net/pwdonly.html, aby utworzyć ciągi użytkownika z zaszyfrowanymi hasłami. Bardzo prosty proces.
Krok 3: Sprawdź, czy Apache jest poprawnie skonfigurowany * opcjonalnie
Domyślnie Apache ma włączone prawidłowe moduły. To powiedziawszy, nigdy nie zaszkodzi być trochę proaktywnym, a ponadto jest to szybkie „sprawdzenie”.
Otwórz plik httpd.conf Apache i sprawdź, czy moduł AUTH jest włączony:

Jeśli zauważysz, że moduł nie jest włączony, po prostu popraw go, jak pokazano powyżej. Nie zapomnij; musisz ponownie uruchomić Apache, aby zmiany w pliku httpd.conf zaczęły obowiązywać.
To powinno się tym zająć. Wszystko gotowe.
Tagi: apache, szyfrowanie, htaccess, bezpieczeństwo, windows
zostaw komentarz