Slik gjør du passordbeskytt et Apache-nettsted ved å bruke .htaccess

Sikkerhet Microsoft Apache   /   by admin   /   March 18, 2020

Hvordan
AvSteve Krause

Sist oppdatert den

Hvis du kjører nettstedet ditt med Apache, er det en enkel prosess å sikre nettstedet med et passord. Jeg har nylig kjørt gjennom prosessen på en Windows-boks (Flertallet av skuddene nedenfor), men trinnene er stort sett de samme for Windows eller Linux Apache-nettsteder.

Trinn 1: Konfigurer .htaccess-filen

Alt arbeidet vil bli gjort ved å bruke din .htaccess-fil. Du finner denne filen på roten til de fleste Apache-nettsteder.

Skjermdumpen er hentet fra en vaniljeinstallasjon av WordPress som kjører på Windows 2003 Server:

bilde

.Htaccess-filen blir sjekket av Apache før den viser websider. Vanligvis brukes den til ReWrites eller ReDirects, men du kan også bruke den til å utnytte de innebygde sikkerhetsfunksjonene til Apache.

Så det første trinnet er å legge til noen få parametere til filen. Nedenfor er en prøve .htaccess-fil. (TIPS: Jeg bruker notepad ++ for å redigere de fleste PHP og relaterte filer)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Vennligst skriv inn bruker og PW" AuthType Basic. krever gyldig bruker

Noen forklaringer:

AuthUserFile: APACHE trenger plasseringen av bruker / passord-filen. Bare skriv inn hele banen til passorddatabasefilen som vist ovenfor. Eksemplet over er hentet fra Windows-boksen min. Hvis du kjører Linux, vil det være noe som: AuthUserFile /full/path/to/.htpasswd

AuthName: Dette feltet definerer tittelen og teksten for popup-boksen som vil be om brukernavn og PW. Du kan lage dette NOE du ønsker. Her er et eksempel på testboksen min:

bilde

AuthType: Dette feltet forteller Apache hvilken type autentisering som brukes. I nesten alle tilfeller er “Basic” helt fint (og det vanligste).

Krev gyldig bruker: Denne siste kommandoen lar Apache vite hvem som tillater det. Ved bruk av "valid-user“, du forteller Apache NOEN har lov til å autentisere hvis de har et gyldig brukernavn og passord.

Hvis du foretrekker å være mer eksakt, kan du spesifisere en spesifikk BRUKER eller BRUKERE. Denne kommandoen ser ut som:

Krev bruker mrgroove groovyguest

I dette tilfellet er det bare brukerne mrgroove og groovyguest som har lov til å gå inn på siden / katalogen du beskytter (etter å ha oppgitt riktig brukernavn og passord selvfølgelig). Alle andre brukere (inkludert gyldige) blir nektet tilgang. Hvis du vil tillate flere brukere, bare skille dem med mellomrom.

Så nå som vi har gjort alle konfigurasjonsinnstillingene, er det slik den ferdige .htaccess-filen din skal se ut:

Skjermbilde er hentet fra en Windows 2003 Server-boks som kjører WordPress:

groovyPost .htaccess

Trinn 2: Lag .htpasswd-filen

Å lage .htpasswd-filen er en enkel prosess. Filen er ikke noe mer enn en tekstfil som inneholder en liste over brukere og deres krypterte passord. Hver brukerstreng skal skilles på linjen. Personlig bruker jeg bare notepad ++ eller Windows Notisblokk for å opprette filen.

Nedenfor er et eksempel på .htpasswd-fil med to brukere:

bilde

Selv om Apache ikke "krever" deg for å kryptere passordene, er det en enkel prosess for både Windows og Linux-systemer.

Windows

Naviger til Apache BIN-mappen (vanligvis funnet på C: \ Program Files \ Apache Group \ Apache2bin) og kjør htpasswd.exe-verktøyet for å generere en MD5-kryptert brukernavn / passordstreng. Du kan også bruke verktøyet til å lage .htpasswd-filen for deg (hva som fungerer ...). For alle detaljene, bare kjør hjelpebryteren fra kommandolinjen (htpasswd.exe /?).

I nesten alle tilfeller er det bare å utføre følgende kommando:

htpasswd -nb brukernavn passord

Når kommandoen er utført, vil htpasswd.exe-verktøyet sende ut brukerstrengen med kryptert passord.

Skjermbilde nedenfor er et eksempel på å utføre htpasswd.exe-verktøyet på Windows 2003 Server

bilde

Når du har brukerstreng, kopier den til din .htpasswd-fil.

Linux:

Gå til: http://railpix.railfan.net/pwdonly.html for å lage dine brukerstrenger med krypterte passord. Veldig enkel prosess.

Trinn 3: Bekreft at Apache er konfigurert riktig * valgfritt

Som standard har Apache de riktige modulene aktivert. Når det er sagt, er det aldri vondt å være litt proaktiv pluss at det er en rask "sjekk".

Åpne Apache httpd.conf-filen og bekreft at AUTH-modulen er aktivert:

bilde

Hvis du finner ut at modulen ikke er aktivert, bare rett den som vist ovenfor. Ikke glem; må du starte Apache på nytt for at endringer i httpd.conf skal tre i kraft.

Det burde ta seg av det. Ferdig.

Tags:apache, kryptering, htaccess, sikkerhet, vinduer

Tags sky
Rating
83
Visninger
0
Kommentarer
YOU MIGHT ALSO LIKE