Как да защитите парола за уебсайт Apache, използвайки .htaccess

Как да

отСтив Краузе

Последна актуализация на7 май 2018 г.

Ако използвате уебсайта си с Apache, осигуряването на сайта с парола е прост процес. Наскоро претърпях процеса в кутия на Windows (по-голямата част от снимките по-долу), но стъпките са почти еднакви за сайтовете на Windows или Linux Apache.

Стъпка 1: Конфигурирайте вашия .htaccess файл

Цялата работа ще бъде извършена с помощта на вашия .htaccess файл. Можете да намерите този файл в основата на повечето сайтове на Apache.

Екранната снимка е взета от ванилна инсталация на WordPress, работеща на Windows 2003 Server:

Файлът .htaccess се проверява от Apache преди показване на уеб страници. Обикновено се използва за ReWrites или ReDirects, но можете да го използвате и за използване на вградените функции за защита на Apache.

И така, първата стъпка е да добавите няколко параметъра към файла. По-долу е примерен .htaccess файл. (СЪВЕТ: Използвам Notepad ++ да редактирате повечето PHP и свързан файл)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Моля, въведете потребител и PW" AuthType Basic. изискват валиден потребител

Някои обяснения:

AuthUserFile: APACHE се нуждае от местоположението на файла Потребител / Парола. Просто въведете пълния път към файла на базата данни с вашата парола, както е показано по-горе. Примерът по-горе е взет от моята кутия на Windows. Ако използвате Linux, това ще е нещо като: AuthUserFile /full/path/to/.htpasswd

AuthName: Това поле определя заглавието и текста за изскачащото поле, което ще изисква потребителско име и PW. Можете да направите това ВСИЧКО, което искате. Ето пример в моята тестова кутия:

AuthType: Това поле казва на Apache какъв тип автентификация се използва. Почти във всички случаи „Basic“ е просто добре (и най-често срещаният).

Изисквайте валиден потребител: Тази последна команда позволява на Apache да знае кой е разрешен. Като се използва "валиден потребител“, казвате, че Apache НА ВСИЧКИ е позволено да се удостоверяват, ако имат валидно потребителско име и парола.

Ако предпочитате да сте по-точни, можете да посочите конкретен ПОТРЕБИТЕЛ или ПОТРЕБИТЕЛИ. Тази команда ще изглежда така:

Изисквайте потребител mrgroove groovyguest

В този случай само потребителите mrgroove и groovyguest ще могат да влизат в страницата / директория, която защитавате (след като предоставите правилното потребителско име и парола, разбира се). На всички останали потребители (включително валидни) ще бъде отказан достъп. Ако искате да разрешите повече потребители, просто ги разделете с интервали.

И така, сега, когато сме направили всички настройки на конфигурацията, ето как трябва да изглежда вашият завършен .htaccess файл:

Снимката е взета от кутия на Windows 2003 Server, работеща с WordPress:

Стъпка 2: Създайте .htpasswd файла

Създаването на .htpasswd файла е прост процес. Файлът не е нищо повече от текстов файл, съдържащ списък на Потребителите и техните криптирани пароли. Всеки потребителски низ трябва да бъде отделен на своята линия. Лично аз просто използвам Notepad ++ или Windows Notepad за създаване на файла.

На снимката по-долу е пример .htpasswd файл с двама потребители:

Въпреки че Apache не ви “изисква” да шифровате паролите, това е прост процес както за Windows, така и за Linux системи.

Windows

Отидете до вашата папка Apache BIN (обикновено се намира в C: \ Program Files \ Apache Group \ Apache2bin) и изпълнете инструмента htpasswd.exe, за да генерирате шифрован MD5 низ за потребителско име / парола. Можете също да използвате инструмента, за да създадете .htpasswd файл за вас (каквото и да работи ...). За всички подробности, просто изпълнете помощния превключвател от командния ред (htpasswd.exe /?).

В почти всички случаи обаче просто изпълнете следната команда:

htpasswd -nb парола за потребителско име

След като командата се изпълни, инструментът htpasswd.exe ще изведе потребителския низ с криптирана паролата.

Снимката по-долу е пример за изпълнение на инструмента htpasswd.exe на Windows 2003 Server

След като имате потребителския низ, го копирайте във вашия .htpasswd файл.

Linux:

Иди на: http://railpix.railfan.net/pwdonly.html за да създадете вашите потребителски низове с криптирани пароли. Много прост процес.

Стъпка 3: Проверете дали Apache е конфигуриран правилно * по избор

По подразбиране Apache е активирал правилните модули. Като се казва, никога не боли да бъдеш малко проактивен плюс това е бърза „проверка“.

Отворете вашия файл Apache httpd.conf и проверете дали модулът AUTH е активиран:

Ако установите, че модулът не е активиран, просто го коригирайте, както е показано по-горе. Не забравяйте; трябва да рестартирате Apache, за да влязат в сила промените във вашия httpd.conf.

Това трябва да се погрижи за това. Готово.

Етикети:Apache, криптиране, Htaccess, сигурност, прозорци