כיצד להגן על סיסמה באמצעות אתר האינטרנט Apache באמצעות .htaccess

אבטחה מיקרוסופט אפאצ'י   /   by admin   /   March 17, 2020

איך ל
על ידיסטיב קראוזה

עודכן לאחרונה ב

אם אתה מנהל את האתר שלך באמצעות אפאצ 'י, אבטחת האתר באמצעות סיסמה היא תהליך פשוט. לאחרונה עברתי את התהליך על קופסת Windows (רוב התמונות למטה) אולם הצעדים זהים כמעט לאתרי חלונות או לינוקס אפאצ'י.

שלב 1: קבע את התצורה של קובץ ה- .htaccess שלך

כל העבודות יבוצעו באמצעות קובץ ה- .htaccess שלך. אתה יכול למצוא קובץ זה בשורש רוב אתרי האפאצ'י.

צילום המסך נלקח מהתקנת וניל של וורדפרס הפועלת על שרת Windows 2003:

תמונה

קובץ ה- .htaccess נבדק על ידי Apache לפני הצגת דפי אינטרנט. בדרך כלל זה משמש ל- ReWrites או ReDirects, אולם אתה יכול להשתמש בו גם כדי למנף את תכונות האבטחה המובנות של אפאצ'י.

אז, השלב הראשון הוא להוסיף כמה פרמטרים לקובץ. להלן דוגמה לקובץ .htaccess. (טיפ: אני משתמש פנקס רשימות ++ כדי לערוך את רוב הקובצי PHP וקשורים קשורים)

AuthUserFile c: apachesecurity.htpasswd. שם אימות "אנא הכנס משתמש ו- PW" סוג AuthType Basic. דורש משתמש תקף

הסבר כלשהו:

קובץ AuthUserFile: APACHE זקוק למיקום של קובץ המשתמש / סיסמא. פשוט הזן את הנתיב המלא לקובץ מסד הנתונים שלך כמוצג למעלה. הדוגמה שלמעלה לקוחה מתיבת Windows שלי. אם אתה מנהל Linux, זה יהיה משהו כמו:

AuthUserFile /full/path/to/.htpasswd

שם אימות: שדה זה מגדיר את הכותרת והטקסט של תיבת הקופץ שתבקש את שם המשתמש ואת ה- PW. אתה יכול לעשות את כל מה שאתה רוצה. הנה דוגמא בתיבת הבדיקה שלי:

תמונה

סוג אותנטי: שדה זה מורה לאפאצ'י באיזה סוג אימות משתמשים. כמעט בכל המקרים, "בסיסי" פשוט בסדר (והנפוץ ביותר).

דרוש משתמש חוקי: פקודה אחרונה זו מאפשרת לאפצ'י לדעת מי מותר. על ידי שימוש ב "משתמש תקף“, אתה אומר לאפאצ'י מישהו רשאי לאמת אם יש להם שם משתמש וסיסמא תקפים.

אם אתה מעדיף להיות מדויק יותר, אתה יכול לציין USER או USERS ספציפיים. פקודה זו תיראה כך:

דרוש משתמש mrgroove groovyguest

במקרה זה, רק המשתמשים mrgroove ו- groovyguest יורשו להיכנס לדף / לספרייה בה אתה מגן (לאחר שמספקים כמובן את שם המשתמש והסיסמה הנכונים). כל המשתמשים האחרים (כולל משתמשים תקפים) יימנעו מהם גישה. אם אתה רוצה לאפשר למשתמשים נוספים, פשוט הפריד אותם עם רווחים.

אז עכשיו, אחרי שביצענו את כל הגדרות התצורה, הנה איך צריך להראות קובץ ה- .htaccess שסיים:

צילום מסך נלקח מתיבת שרת Windows 2003 המריצה WordPress:

groovyPost .htaccess

שלב 2: צור את קובץ ה- .htpasswd

יצירת קובץ ה- .htpasswd הוא תהליך פשוט. הקובץ אינו אלא קובץ טקסט המכיל רשימת משתמשים והסיסמאות המוצפנות שלהם. יש להפריד כל מחרוזת משתמש לקו שלו. באופן אישי, אני פשוט משתמש פנקס רשימות ++ או פנקס רשימות של Windows כדי ליצור את הקובץ.

להלן דוגמה לקובץ .htpasswd עם שני משתמשים:

תמונה

למרות שאפאצ'י לא "מחייב" אותך להצפין את הסיסמאות, זהו תהליך פשוט הן עבור מערכות ווינדוס והן של לינוקס.

חלונות

נווט אל תיקיית ה- Apache BIN שלך (בדרך כלל נמצא ב C: \ קבצי תוכנית \ Apache Group \ Apache2bin) והפעל את הכלי htpasswd.exe כדי ליצור מחרוזת MD5 מוצפנת שם משתמש / סיסמא. אתה יכול גם להשתמש בכלי כדי ליצור את קובץ ה- .htpasswd עבורך (מה שעובד ...). לכל הפרטים, פשוט בצע את מתג העזרה משורת הפקודה (htpasswd.exe /?).

כמעט בכל המקרים, פשוט בצע את הפקודה הבאה:

htpasswd -nb סיסמת שם משתמש

לאחר ביצוע הפקודה, הכלי htpasswd.exe יפיק את מחרוזת המשתמש עם הצפנה של הסיסמה.

צילום מסך להלן הוא דוגמה להפעלת הכלי htpasswd.exe ב- Windows 2003 Server

תמונה

לאחר שיש לך את מחרוזת המשתמש, העתק אותו לקובץ .htpasswd שלך.

לינוקס:

לך ל: http://railpix.railfan.net/pwdonly.html כדי ליצור מחרוזות המשתמש שלך עם סיסמאות מוצפנות. תהליך פשוט מאוד.

שלב 3: ודא שאפצ'י מוגדר כראוי * לא חובה

כברירת מחדל, לאפאצ'י מופעלים המודולים הנכונים. עם זאת, זה אף פעם לא כואב להיות קצת יזום ובנוסף זה "בדיקה" מהירה.

פתח את קובץ ה- Apache httpd.conf וודא שמודול ה- AUTH מופעל:

תמונה

אם אתה מוצא שהמודול אינו מופעל, פשוט תקן אותו כמוצג למעלה. אל תשכח; עליך להפעיל מחדש את אפאצ 'י כדי שינויים בתכנית httpd.conf ייכנסו לתוקף.

זה אמור לטפל בזה. הכל בוצע.

תגיות:אפאצ'י, הצפנה, htaccess, ביטחון, חלונות

ענן תגיות
דֵרוּג
130
צפיות
0
תגובות
YOU MIGHT ALSO LIKE