Sådan gør du adgangskode til at beskytte et Apache-websted ved hjælp af .htaccess

Hvordan

VedSteve Krause

Sidst opdateret den7. maj 2018

Hvis du kører dit websted med Apache, er det en simpel proces at sikre webstedet med en adgangskode. Jeg løb for nylig processen på en Windows-boks (Størstedelen af ​​billederne nedenfor), men trinnene er stort set de samme for Windows eller Linux Apache-websteder.

Trin 1: Konfigurer din .htaccess-fil

Alt arbejde udføres ved hjælp af din .htaccess-fil. Du kan finde denne fil i roden til de fleste Apache-websteder.

Skærmbillede er taget fra en vaniljeinstallation af WordPress, der kører på Windows 2003 Server:

.Htaccess-filen kontrolleres af Apache, før websider vises. Typisk bruges det til ReWrites eller ReDirects, men du kan også bruge det til at udnytte de indbyggede sikkerhedsfunktioner i Apache.

Så det første trin er at tilføje et par parametre til filen. Nedenfor er en prøve .htaccess-fil. (TIP: Jeg bruger notepad ++ for at redigere mest PHP og relateret fil)

AuthUserFile c: apachesecurity.htpasswd. AuthName "Indtast venligst bruger & PW" AuthType Basic. kræver gyldig bruger

Nogle forklaringer:

AuthUserFile: APACHE har brug for placeringen af ​​filen User / Password. Bare indtast den fulde sti til din adgangskodedatabasefil som vist ovenfor. Eksemplet ovenfor er hentet fra min Windows-boks. Hvis du kører Linux, ville det være noget som: AuthUserFile /full/path/to/.htpasswd

AuthName: Dette felt definerer titel og tekst til popup-boksen, som vil anmode om brugernavn og PW. Du kan lave dette ALT, du ønsker. Her er et eksempel på min testboks:

AuthType: Dette felt fortæller Apache, hvilken type godkendelse, der bruges. I næsten alle tilfælde er “Basic” fint (og det mest almindelige).

Kræv gyldig bruger: Denne sidste kommando lader Apache vide, hvem der er tilladt. Ved hjælp af "gyldigt bruger“, du fortæller Apache, at nogen har tilladelse til at autentificere, hvis de har et gyldigt brugernavn og adgangskode.

Hvis du foretrækker at være mere EXAKT, kan du specificere en bestemt BRUGER eller BRUGERE. Denne kommando ser ud som:

Kræv bruger mrgroove groovyguest

I dette tilfælde er det kun brugerne, mrgroove og groovyguest, der har adgang til den side / det bibliotek, du beskytter (efter at have givet det korrekte brugernavn og adgangskode naturligvis). Alle andre brugere (inklusive gyldige) nægtes adgang. Hvis du vil tillade flere brugere, skal du bare adskille dem med mellemrum.

Så nu, hvor vi har foretaget alle konfigurationsindstillingerne, her er hvordan din færdige .htaccess-fil skal se ud:

Skærmbillede er taget fra en Windows 2003 Server-kasse, der kører WordPress:

Trin 2: Opret .htpasswd-filen

Oprettelse af .htpasswd-fil er en enkel proces. Filen er intet andet end en tekstfil, der indeholder en liste over brugere og deres krypterede adgangskoder. Hver brugerstreng skal adskilles på sin linje. Personligt bruger jeg bare notepad ++ eller Windows Notepad for at oprette filen.

Nedenfor er et eksempel på .htpasswd-fil med to brugere:

Selvom Apache ikke "kræver" dig til at kryptere adgangskoder, er det en enkel proces til både Windows og Linux-systemer.

vinduer

Naviger til din Apache BIN-mappe (findes normalt i C: \ Program Files \ Apache Group \ Apache2bin) og udfør værktøjet htpasswd.exe for at generere en MD5-krypteret streng med brugernavn / adgangskode. Du kan også bruge værktøjet til at oprette .htpasswd-filen til dig (hvad der fungerer ...). For at få alle detaljerne skal du bare udføre hjælpekontakten fra kommandolinjen (htpasswd.exe /?).

I næsten alle tilfælde skal du bare udføre følgende kommando:

htpasswd -nb brugernavn adgangskode

Når kommandoen er udført, udsender værktøjet htpasswd.exe brugerstrengen med den krypterede adgangskoden.

Skærmbillede nedenfor er et eksempel på eksekvering af htpasswd.exe-værktøjet på Windows 2003 Server

Når du har brugerstrengen, skal du kopiere den til din .htpasswd-fil.

Linux:

Gå til: http://railpix.railfan.net/pwdonly.html at oprette dine brugerstrenge med krypterede adgangskoder. Meget enkel proces.

Trin 3: Kontroller, at Apache er konfigureret korrekt * valgfri

Som standard har Apache de korrekte moduler aktiveret. Når det er sagt, gør det aldrig ondt at være lidt proaktiv plus det er en hurtig "check".

Åbn din Apache httpd.conf-fil, og bekræft, at AUTH-modulet er aktiveret:

Hvis du finder ud af, at modulet ikke er aktiveret, skal du bare rette det som vist ovenfor. Glem ikke; skal du genstarte Apache for at ændre din httpd.conf for at træde i kraft.

Det skulle tage sig af det. Helt færdig.

Tags:apache, kryptering, htaccess, sikkerhed, vinduer