Hjemmeside » Hvordan » Hvordan passordbeskytt et Apache-nettsted ved hjelp av .htaccess

    Hvordan passordbeskytt et Apache-nettsted ved hjelp av .htaccess

    Hvis du kjører nettstedet ditt med Apache, er det en enkel prosess å sikre nettstedet med et passord. Jeg har nylig løp gjennom prosessen på en Windows-boks (Flertallet av bildene nedenfor), men trinnene er stort sett de samme for Windows eller Linux Apache-nettsteder.

    Trinn 1: Konfigurer .htaccess-filen

    Alt arbeidet vil bli gjort ved hjelp av .htaccess-filen. Du kan finne denne filen i roten til de fleste Apache-nettsteder.

    Skjermbildet ble tatt fra en vanilje-installasjon av WordPress som kjører på Windows 2003 Server:

    .Htaccess-filen er sjekket av Apache før du viser websider. Vanligvis brukes den til ReWrites eller ReDirects, men du kan også bruke den til å utnytte de innebygde sikkerhetsfunksjonene i Apache.

    Så det første trinnet er å legge til noen få parametere til filen. Nedenfor er en sample .htaccess-fil. (TIP: Jeg bruker notisblokk ++ for å redigere de fleste PHP og tilhørende fil)

    AuthUserFile c: apachesecurity.htpasswd AuthName "Vennligst skriv inn bruker og PW" AuthType Basic krever gyldig bruker

    Noen forklaring:

    AuthUserFile: APACHE trenger plasseringen av bruker- / passordfilen. Bare skriv inn hele banen til passorddatafilen som vist ovenfor. Eksempelet ovenfor er hentet fra min Windows-boks. Hvis du kjører Linux, ville det være noe som helst: AuthUserFile /full/path/to/.htpasswd

    AuthName: Dette feltet definerer tittel og tekst for popup-boksen som vil be om brukernavn og PW. Du kan gjøre dette alt du vil. Her er et eksempel på testboksen min:

    AuthType: Dette feltet forteller Apache hvilken type autentisering som brukes. I nesten alle tilfeller er "Basic" bare bra (og den vanligste).

    Krev gyldig bruker: Denne siste kommandoen lar Apache vite hvem som er tillatt. Ved bruk av "valid-user“, du forteller Apache ALLE er lov til å autentisere hvis de har et gyldig brukernavn og passord.

    Hvis du foretrekker å være mer EXAKT, kan du spesifisere en bestemt BRUKER eller BRUKERE. Denne kommandoen vil se ut som:

    Krev brukeren mrgroove groovyguest

    I dette tilfellet vil bare brukerne mrgroove og groovyguest få tilgang til siden / katalogen du beskytter (etter å ha oppgitt riktig brukernavn og passord selvfølgelig). Alle andre brukere (inkludert gyldige) vil bli nektet tilgang. Hvis du vil tillate flere brukere, bare skille dem med mellomrom.

    Så, nå som vi har alle config-innstillingene gjort, her er hva din ferdige .htaccess-fil skal se ut som:

    Skjermbilde er hentet fra en Windows 2003 Server-boks som kjører WordPress:

    Trinn 2: Opprett .htpasswd-filen

    Opprette .htpasswd-filen er en enkel prosess. Filen er ikke mer enn en tekstfil som inneholder en liste over brukere og deres krypterte passord. Hver brukerstreng bør skilles på linjen. Personlig bruker jeg bare notisblokk ++ eller Windows Notisblokk for å lage filen.

    Shot nedenfor er et eksempel .htpasswd-fil med to brukere:

    Selv om Apache ikke "krever" deg å kryptere passordene, er det en enkel prosess for både Windows og Linux Systems.

    Windows

    Naviger til Apache BIN-mappen din (vanligvis funnet i C: \ Program Files \ Apache Group \ Apache2bin) og kjør verktøyet htpasswd.exe for å generere en MD5 kryptert brukernavn / passord streng. Du kan også bruke verktøyet til å opprette .htpasswd-filen for deg (hva som helst ...). For alle detaljer, bare utfør hjelpebryteren fra kommandolinjen (htpasswd.exe /?).

    I nesten alle tilfeller utfører du imidlertid bare kommandoen:

    htpasswd -nb brukernavn passord

    Når kommandoen er utført, vil verktøyet htpasswd.exe sende ut brukerstrengen med kryptert passordet.

    Skjermbilde nedenfor er et eksempel på å utføre verktøyet htpasswd.exe på Windows 2003 Server

    Når du har User String, kopier du den til din .htpasswd-fil.

    Linux:

    Gå til: http://railpix.railfan.net/pwdonly.html for å lage brukerstrenger med krypterte passord. Veldig enkel prosess.

    Trinn 3: Verifiser Apache er konfigurert riktig * valgfritt

    Apache har som standard de riktige modulene aktivert. Når det blir sagt, gjør det aldri vondt for å være litt proaktivt pluss det er en rask "sjekk".

    Åpne Apache httpd.conf-filen din og bekreft at AUTH-modulen er aktivert:

    Hvis du finner at modulen ikke er aktivert, må du bare rette den som vist ovenfor. Ikke glem det; du må starte Apache på nytt for at endringer i httpd.conf skal tre i kraft.

    Det skal ta vare på det. Ferdig.

    Tags: apache, kryptering, htaccess, sikkerhet, vinduer