Як захистити пароль веб-сайту Apache за допомогою .htaccess
Якщо ви користуєтеся своїм веб-сайтом за допомогою Apache,захист сайту паролем - це простий процес. Нещодавно я пробіг процес у вікні Windows (Більшість знімків нижче), проте кроки майже однакові для сайтів Windows або Linux Apache.
Крок 1. Налаштуйте файл .htaccess
Вся робота буде виконана за допомогою вашого файлу .htaccess. Ви можете знайти цей файл у корені більшості веб-сайтів Apache.
Скріншот зроблено з ванільної установки WordPress, що працює на Windows 2003 Server:

Файл .htaccess перевіряється Apache перед відображенням веб-сторінок. Зазвичай він використовується для ReWrites або ReDirects, однак ви також можете використовувати його для використання вбудованих функцій безпеки Apache.
Отже, перший крок - додати у файл кілька параметрів. Нижче наведено зразок .htaccess-файлу. (Порада: я використовую блокнот ++ для редагування більшості PHP та пов'язаних з ним файлів)
AuthUserFile c:apachesecurity.htpasswd AuthName "Please Enter User & PW" AuthType Basic require valid-user
Деякі пояснення:
AuthUserFile: APACHE потребує розташування Користувача / пароляфайл. Просто введіть повний шлях до файлу бази даних паролів, як показано вище. Приклад вище взято з вікна мого Windows. Якщо ви працюєте з Linux, це буде щось на кшталт: AuthUserFile /full/path/to/.htpasswd
AuthName: Це поле визначає заголовок та текст для спливаючого вікна, яке буде запитувати ім'я користувача та PW. Ви можете зробити це будь-що, що хочете. Ось приклад у моєму тестовому вікні:

AuthType: Це поле повідомляє Apache, який тип автентифікації використовується. Майже у всіх випадках "Basic" - це просто добре (і найпоширеніший).
Потрібен дійсний користувач: Ця остання команда дозволяє Apache знати, кому дозволено. За допомогою "дійсний користувач", ви говорите, що Apache БУДЬ-ЯКОГО дозволено аутентифікувати, якщо вони мають дійсне ім'я користувача та пароль.
Якщо ви віддаєте перевагу бути точнішими, ви можете вказати конкретного КОРИСТУВАЧА або ПОТРІБНИКА. Ця команда виглядатиме так:
Require user mrgroove groovyguest
У цьому випадку лише користувачі mrgroove таgroovyguest буде дозволено входити на сторінку / каталог, який ви захищаєте (після вказання правильного імені користувача та пароля, звичайно). Всім іншим користувачам (включаючи дійсних) буде відмовлено у доступі. Якщо ви хочете дозволити більше користувачів, просто розділіть їх пробілами.
Отже, тепер, коли ми виконали всі налаштування конфігурації, ось як виглядає ваш готовий .htaccess файл:
Знімок екрана зроблений із вікна Windows 2003 Server із запуском WordPress:

Крок 2: Створіть файл .htpasswd
Створення .htpasswd файла - це простий процес. Цей файл - це не що інше, як текстовий файл, що містить список користувачів та їх зашифровані паролі. Кожен рядок користувача повинен бути відокремлений від його рядка. Особисто я просто використовую блокнот ++ або Блокнот Windows для створення файлу.
Нижче наводиться приклад .htpasswd-файлу з двома користувачами:

Хоча Apache не вимагає від вас шифрування паролів, це простий процес для Windows та Linux.
Windows
Перейдіть до своєї папки Apache BIN (зазвичай її знайдете)на C: Program FilesApache GroupApache2bin) та виконайте інструмент htpasswd.exe для створення зашифрованої MD5 рядка Ім'я користувача / пароля. Ви також можете скористатися інструментом для створення .htpasswd-файлу для вас (що б не працювало ...). Для всіх подробиць просто виконайте довідковий перемикач з командного рядка (htpasswd.exe /?).
Практично у всіх випадках просто виконуйте таку команду:
htpasswd -nb username password
Після того, як команда буде виконана, інструмент htpasswd.exe виведе рядок "Користувач" із зашифрованим паролем.
Скріншот нижче - приклад виконання інструменту htpasswd.exe на Windows 2003 Server

Щойно у вас є користувацька рядок, скопіюйте її у свій .htpasswd файл.
Linux:
Перейдіть за посиланням: http://railpix.railfan.net/pwdonly.html, щоб створити свої користувацькі рядки із зашифрованими паролями. Дуже простий процес.
Крок 3. Перевірте, чи Apache налаштовано належним чином * необов’язково
За замовчуванням Apache увімкнено правильні модулі. При цьому, ніколи не боляче бути трохи ініціативним плюс швидка "перевірка".
Відкрийте свій файл Apache httpd.conf і переконайтеся, що модуль AUTH увімкнено:

Якщо ви виявите, що модуль не ввімкнено, просто виправте його, як показано вище. Не забувайте; вам потрібно перезапустити Apache, щоб зміни в вашому httpd.conf вступили в силу.
Це має подбати про це. Готово.
Теги: apache, шифрування, htaccess, безпека, windows
Залишити коментар