Как да защитите парола за уебсайт Apache, използвайки .htaccess

Как да

отСтив Краузе

Последна актуализация на7 май 2018 г.

Ако използвате уебсайта си с Apache, осигуряването на сайта с парола е прост процес. Наскоро претърпях процеса в кутия на Windows (по-голямата част от снимките по-долу), но стъпките са почти еднакви за сайтовете на Windows или Linux Apache.

Стъпка 1: Конфигурирайте вашия .htaccess файл

Цялата работа ще бъде извършена с помощта на вашия .htaccess файл. Можете да намерите този файл в основата на повечето сайтове на Apache.

Екранната снимка е взета от ванилна инсталация на WordPress, работеща на Windows 2003 Server:

Файлът .htaccess се проверява от Apache преди показване на уеб страници. Обикновено се използва за ReWrites или ReDirects, но можете също да го използвате, за да използвате вградените функции за защита на Apache.

И така, първата стъпка е да добавите няколко параметъра към файла. По-долу е примерен .htaccess файл. (СЪВЕТ: Използвам Notepad ++ да редактирате повечето PHP и свързан файл)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Моля, въведете потребител и PW" AuthType Basic. изискват валиден потребител

Някои обяснения:

AuthUserFile: APACHE се нуждае от местоположението на файла Потребител / Парола. Просто въведете пълния път към файла с база данни за паролата, както е показано по-горе. Примерът по-горе е взет от моята кутия на Windows. Ако използвате Linux, това ще е нещо като: AuthUserFile /full/path/to/.htpasswd

AuthName: Това поле определя заглавието и текста за изскачащото поле, което ще изисква потребителско име и PW. Можете да направите това ВСИЧКО, което искате. Ето пример в моята тестова кутия:

AuthType: Това поле казва на Apache какъв тип автентификация се използва. Почти във всички случаи „Basic“ е просто добре (и най-често срещаният).

Изисквайте валиден потребител: Тази последна команда позволява на Apache да знае кой е разрешен. Като се използва "валиден потребител“, казвате, че Apache НА ВСИЧКИ е позволено да се удостоверяват, ако имат валидно потребителско име и парола.

Ако предпочитате да сте по-точни, можете да посочите конкретен ПОТРЕБИТЕЛ или ПОТРЕБИТЕЛИ. Тази команда ще изглежда така:

Изисквайте потребител mrgroove groovyguest

В този случай само потребителите mrgroove и groovyguest ще могат да влизат в страницата / директория, която защитавате (след като предоставите правилното потребителско име и парола, разбира се). На всички останали потребители (включително валидни) ще бъде отказан достъп. Ако искате да разрешите повече потребители, просто ги разделете с интервали.

И така, сега, когато сме направили всички настройки на конфигурацията, ето как трябва да изглежда вашият завършен .htaccess файл:

Снимката е взета от кутия на Windows 2003 Server, работеща с WordPress:

Стъпка 2: Създайте .htpasswd файла

Създаването на .htpasswd файла е прост процес. Файлът не е нищо повече от текстов файл, съдържащ списък на Потребителите и техните криптирани пароли. Всеки потребителски низ трябва да бъде отделен на своята линия. Лично аз просто използвам Notepad ++ или Windows Notepad за създаване на файла.

На снимката по-долу е пример .htpasswd файл с двама потребители:

Въпреки че Apache не ви “изисква” да шифровате паролите, това е прост процес както за Windows, така и за Linux системи.

Windows

Придвижете се до вашата папка Apache BIN (обикновено се намира на C: \ Program Files \ Apache Group \ Apache2bin) и изпълнете инструмента htpasswd.exe, за да генерирате шифрован MD5 низ за потребителско име / парола. Можете също да използвате инструмента, за да създадете .htpasswd файл за вас (каквото и да работи ...). За всички подробности, просто изпълнете помощния превключвател от командния ред (htpasswd.exe /?).

В почти всички случаи обаче просто изпълнете следната команда:

htpasswd -nb парола за потребителско име

След като командата се изпълни, инструментът htpasswd.exe ще изведе потребителския низ с криптирана паролата.

Снимката по-долу е пример за изпълнение на инструмента htpasswd.exe на Windows 2003 Server

След като имате потребителския низ, го копирайте във вашия .htpasswd файл.

Linux:

Иди на: http://railpix.railfan.net/pwdonly.html за да създадете вашите потребителски низове с криптирани пароли. Много прост процес.

Стъпка 3: Проверете дали Apache е конфигуриран правилно * по избор

По подразбиране Apache е активирал правилните модули. Като се казва, никога не боли да бъдеш малко проактивен плюс това е бърза „проверка“.

Отворете вашия файл Apache httpd.conf и проверете дали модулът AUTH е активиран:

Ако установите, че модулът не е активиран, просто го коригирайте, както е показано по-горе. Не забравяйте; трябва да рестартирате Apache, за да влязат в сила промените във вашия httpd.conf.

Това трябва да се погрижи за това. Готово.

Етикети:Apache, криптиране, Htaccess, сигурност, прозорци