Kako zaštititi lozinkom web mjesto Apache pomoću .htaccess

Kako da

PoSteve Krause

Ažurirano dana7. svibnja 2018

Ako web lokaciju imate pomoću Apachea, osiguranje stranice lozinkom je jednostavan postupak. Nedavno sam prošao kroz proces na Windows boxu (većina snimaka ispod), no koraci su prilično isti za Windows ili Linux Apache stranice.

Korak 1: Konfigurirajte svoju .htaccess datoteku

Sav posao obavit će se pomoću vaše .htaccess datoteke. Tu datoteku možete pronaći u korijenu većine Apache Web stranica.

Snimak ekrana snimljen je vanilijom WordPress-a koja se izvodi na Windows 2003 Server:

Datoteku .htaccess provjerava Apache prije prikazivanja web stranica. Obično se koristi za ReWrites ili ReDirects, ali možete ih koristiti i za korištenje ugrađenih sigurnosnih značajki Apachea.

Dakle, prvi korak je dodavanje nekoliko parametara u datoteku. Ispod je uzorak .htaccess datoteke. (SAVJET: Koristim notepad ++ za uređivanje većine PHP-a i srodne datoteke)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Unesite korisnika i PW" AuthType Basic. zahtijevati valjanog korisnika

Nekoliko objašnjenja:

AuthUserFile: APACHE treba lokaciju datoteke User / Password. Samo unesite puni put do datoteke baze podataka zaporke kao što je prikazano gore. Gornji primjer preuzet je iz mog okvira Windows. Ako imate Linux, to bi bilo nešto poput: AuthUserFile /full/path/to/.htpasswd

AuthName: Ovo polje definira Naslov i Tekst za skočni okvir koji će tražiti Korisničko ime i PW. To možete učiniti SVE što želite. Evo primjera u mom testnom okviru:

AuthType: Ovo polje govori Apacheu koja se vrsta autentifikacije koristi. U gotovo svim slučajevima, "Basic" je u redu (i najčešća).

Zahtijevajte valjanog korisnika: Ova posljednja naredba omogućuje Apacheu da zna tko je dopušten. Pomoću "vrijedi korisnika“, kažete da je Apache SVAKO dozvoljeno autentificirati ako imaju valjano korisničko ime i lozinku.

Ako želite biti točniji, možete navesti određenog KORISNIKA ili KORISNIKA. Ova bi naredba izgledala kao:

Zahtijeva korisnik mrgroove groovyguest

U tom slučaju samo bi korisnici mrgroove i groovyguest mogli ući u stranicu / direktorij koji štitite (naravno, nakon unošenja ispravnog korisničkog imena i lozinke). Svim ostalim korisnicima (uključujući važeće) bit će onemogućen pristup. Ako želite omogućiti više korisnika, samo ih odvojite razmacima.

Dakle, sada kada smo napravili sve postavke konfiguracije, evo kako bi trebala izgledati završena .htaccess datoteka:

Snimak ekrana preuzet je iz okvira poslužitelja Windows 2003 koji pokreće WordPress:

Korak 2: Stvorite .htpasswd datoteku

Izrada .htpasswd datoteke jednostavan je postupak. Datoteka je samo tekstualna datoteka koja sadrži popis korisnika i njihove šifrirane lozinke. Svaki Korisnički niz treba biti odvojen u svojoj liniji. Osobno ga samo koristim notepad ++ ili Windows Notepad da biste stvorili datoteku.

Sljedeća slika prikazuje primjer .htpasswd datoteke s dva korisnika:

Iako Apache ne zahtijeva "šifriranje lozinki", to je jednostavan postupak i za Windows i Linux sustave.

Windows

Dođite do mape Apache BIN (obično se nalazi na C: \ Program Files \ Apache Group \ Apache2bin) i izvršite alat htpasswd.exe da biste generirali MD5 šifrirani niz korisničkog imena / lozinke. Također možete koristiti alat za izradu .htpasswd datoteke za vas (što god radi ...). Za sve detalje samo izvršite prekidač pomoći iz naredbenog retka (htpasswd.exe /?).

Gotovo u svim slučajevima samo izvršite sljedeću naredbu:

htpasswd -nb lozinka za korisničko ime

Jednom kada se naredba izvrši, alat htpasswd.exe će ispisati Korisnički niz s šifriranom lozinkom.

Slika dolje je primjer izvođenja alata htpasswd.exe na Windows 2003 poslužitelju

Nakon što steknete Korisnički niz, kopirajte ga u svoju .htpasswd datoteku.

Linux:

Ići: http://railpix.railfan.net/pwdonly.html za stvaranje korisničkih nizova s ​​šifriranim zaporkama. Vrlo jednostavan postupak.

Korak 3: Provjerite je li Apache pravilno konfiguriran * izborno

Apache je prema zadanim postavkama omogućen ispravan modul. Kao što je rečeno, nikada ne boli biti malo proaktivan plus to je brza "provjera".

Otvorite datoteku Apache httpd.conf i provjerite je li modul AUTH omogućen:

Ako utvrdite da modul nije omogućen, ispravite ga kao što je prikazano gore. Ne zaboravite; trebate ponovo pokrenuti Apache da bi promjene u vašem httpd.conf stupile na snagu.

To bi se trebalo pobrinuti za to. Sve gotovo.

Oznake:apaš, šifriranje, htaccess, sigurnosti, prozori