Poradnik Hasło Chroń witrynę Apache przy użyciu .htaccess

Jak

PrzezSteve Krause

Ostatnia aktualizacja dnia7 maja 2018 r

Jeśli prowadzisz witrynę z Apache, zabezpieczenie witryny hasłem to prosty proces. Niedawno przeprowadziłem ten proces na komputerze z systemem Windows (większość zdjęć poniżej), jednak kroki są prawie takie same dla witryn Windows lub Linux Apache.

Krok 1: Skonfiguruj plik .htaccess

Cała praca zostanie wykonana przy użyciu pliku .htaccess. Możesz znaleźć ten plik w katalogu głównym większości stron internetowych Apache.

Zrzut ekranu pochodzi z waniliowej instalacji WordPress działającej na systemie Windows 2003 Server:

Plik .htaccess jest sprawdzany przez Apache przed wyświetleniem stron internetowych. Zwykle jest używany do ReWrites lub ReDirects, ale możesz go również użyć do wykorzystania wbudowanych funkcji bezpieczeństwa Apache.

Pierwszym krokiem jest dodanie kilku parametrów do pliku. Poniżej znajduje się przykładowy plik .htaccess. (WSKAZÓWKA: używam notatnik ++ edytować większość plików PHP i powiązanych)

AuthUserFile c: apachesecurity.htpasswd. AuthName „Proszę wprowadzić użytkownika i PW” AuthType Basic. wymagają ważnego użytkownika

Niektóre wyjaśnienia:

AuthUserFile: APACHE potrzebuje lokalizacji pliku Użytkownik / Hasło. Wystarczy wpisać pełną ścieżkę do pliku bazy danych haseł, jak pokazano powyżej. Powyższy przykład pochodzi z mojego okna Windows. Jeśli używasz Linuksa, byłoby to coś takiego: AuthUserFile /full/path/to/.htpasswd

AuthName: To pole definiuje tytuł i tekst dla wyskakującego okienka, które będzie wymagało nazwy użytkownika i PW. Możesz zrobić to WSZYSTKO, co chcesz. Oto przykład na moim polu testowym:

Typ uwierzytelniania: To pole informuje Apache, jaki typ uwierzytelnienia jest używany. W prawie wszystkich przypadkach „Podstawowy” jest w porządku (i najczęściej).

Wymagaj ważnego użytkownika: To ostatnie polecenie informuje Apache, że WHO jest dozwolone. Używając "ważny użytkownik“, informujesz, że Apache KAŻDY może się uwierzytelnić, jeśli ma prawidłową nazwę użytkownika i hasło.

Jeśli wolisz być bardziej DOKŁADNY, możesz określić konkretnego UŻYTKOWNIKA lub UŻYTKOWNIKÓW. Ta komenda wyglądałaby następująco:

Wymagaj użytkownika mrgroove groovyguest

W takim przypadku tylko użytkownicy mrgroove i groovyguest będą mogli wejść do chronionej strony / katalogu (oczywiście po podaniu prawidłowej nazwy użytkownika i hasła). Wszystkim innym użytkownikom (w tym ważnym) odmówiono dostępu. Jeśli chcesz zezwolić większej liczbie użytkowników, po prostu oddziel ich spacjami.

Teraz, kiedy mamy już wszystkie ustawienia konfiguracji, oto jak powinien wyglądać Twój gotowy plik .htaccess:

Zrzut ekranu pochodzi z systemu Windows 2003 Server z systemem WordPress:

Krok 2: Utwórz plik .htpasswd

Utworzenie pliku .htpasswd to prosty proces. Plik jest niczym innym jak plikiem tekstowym zawierającym listę Użytkowników i ich zaszyfrowane hasła. Każdy ciąg użytkownika powinien być rozdzielony na jego linię. Osobiście po prostu używam notatnik ++ lub Notatnik Windows, aby utworzyć plik.

Poniżej pokazano przykładowy plik .htpasswd z dwoma użytkownikami:

Chociaż Apache nie „wymaga” od Ciebie szyfrowania haseł, jest to prosty proces dla systemów Windows i Linux.

Windows

Przejdź do folderu BIN Apache (zwykle znajdującego się w C: \ Program Files \ Apache Group \ Apache2bin) i uruchom narzędzie htpasswd.exe, aby wygenerować ciąg zaszyfrowanej nazwy użytkownika / hasła MD5. Możesz także użyć tego narzędzia do utworzenia pliku .htpasswd (cokolwiek działa…). Aby uzyskać wszystkie szczegóły, po prostu wykonaj przełączenie pomocy z wiersza polecenia (htpasswd.exe /?).

Jednak w prawie wszystkich przypadkach wystarczy wykonać następujące polecenie:

htpasswd -nb nazwa użytkownika hasło

Po wykonaniu polecenia narzędzie htpasswd.exe wyśle ​​ciąg użytkownika z zaszyfrowanym hasłem.

Zrzut ekranu poniżej to przykład wykonania narzędzia htpasswd.exe w systemie Windows 2003 Server

Po uzyskaniu ciągu użytkownika skopiuj go do pliku .htpasswd.

Linux:

Iść do: http://railpix.railfan.net/pwdonly.html aby utworzyć ciągi użytkownika z zaszyfrowanymi hasłami. Bardzo prosty proces.

Krok 3: Sprawdź, czy Apache jest poprawnie skonfigurowany * opcjonalnie

Domyślnie Apache ma włączone prawidłowe moduły. To powiedziawszy, nigdy nie zaszkodzi być trochę proaktywnym, a ponadto jest to szybkie „sprawdzenie”.

Otwórz plik httpd.conf Apache i sprawdź, czy moduł AUTH jest włączony:

Jeśli zauważysz, że moduł nie jest włączony, po prostu popraw go, jak pokazano powyżej. Nie zapomnij; musisz ponownie uruchomić Apache, aby zmiany w pliku httpd.conf zaczęły obowiązywać.

To powinno się tym zająć. Wszystko gotowe.

Tagi:apacz, szyfrowanie, htaccess, bezpieczeństwo, Windows