Tutela della password Proteggi un sito Web Apache utilizzando .htaccess
Sicurezza Microsoft Apache / / March 18, 2020
Ultimo aggiornamento il
Se stai gestendo il tuo sito Web con Apache, proteggere il sito con una password è un processo semplice. Di recente ho eseguito il processo su una finestra di Windows (la maggior parte degli scatti di seguito) tuttavia i passaggi sono praticamente gli stessi per i siti Apache di Windows o Linux.
Passaggio 1: configura il tuo file .htaccess
Tutto il lavoro sarà svolto usando il tuo file .htaccess. Puoi trovare questo file alla radice della maggior parte dei siti Web Apache.
Lo screenshot è stato preso da un'installazione vanilla di WordPress in esecuzione su Windows 2003 Server:
Il file .htaccess viene controllato da Apache prima di visualizzare le pagine Web. In genere viene utilizzato per ReWrites o ReDirects, tuttavia è anche possibile utilizzarlo per sfruttare le funzionalità di sicurezza integrate di Apache.
Quindi, il primo passo è aggiungere alcuni parametri al file. Di seguito è riportato un file .htaccess di esempio. (SUGGERIMENTO: io uso notepad ++ per modificare la maggior parte dei file PHP e correlati)
AuthUserFile c: apachesecurity.htpasswd. AuthName "Inserisci utente e PW" AuthType Basic. richiede un utente valido
Qualche spiegazione:
AuthUserFile: APACHE richiede l'ubicazione del file Utente / Password. Basta inserire il percorso completo del file di database delle password come mostrato sopra. L'esempio sopra è tratto dalla mia finestra di Windows. Se stai eseguendo Linux, sarebbe qualcosa del tipo: AuthUserFile /full/path/to/.htpasswd
AuthName: Questo campo definisce il titolo e il testo per la finestra popup che richiederà il nome utente e PW. Puoi fare tutto ciò che vuoi. Ecco un esempio sulla mia casella di prova:
AuthType: Questo campo indica ad Apache quale tipo di autenticazione viene utilizzata. In quasi tutti i casi, "Basic" va bene (e il più comune).
Richiede un utente valido: Quest'ultimo comando fa sapere ad Apache che l'OMS è autorizzato. Usando "valid-user“, stai dicendo ad Apache CHIUNQUE è autorizzato ad autenticarsi se ha un nome utente e una password validi.
Se si preferisce essere più ESATTI, è possibile specificare un UTENTE o UTENTI specifici. Questo comando sarebbe simile a:
Richiedi all'utente mrgroove groovyguest
In questo caso, solo gli utenti mrgroove e groovyguest potranno accedere alla pagina / directory che stai proteggendo (dopo aver fornito ovviamente il nome utente e la password corretti). A tutti gli altri utenti (inclusi quelli validi) verrà negato l'accesso. Se vuoi consentire a più utenti, basta separarli con spazi.
Quindi, ora che abbiamo effettuato tutte le impostazioni di configurazione, ecco come dovrebbe essere il tuo file .htaccess finito:
La schermata è tratta da una finestra del server Windows 2003 che esegue WordPress:
Passaggio 2: creare il file .htpasswd
La creazione del file .htpasswd è un processo semplice. Il file non è altro che un file di testo contenente un elenco di utenti e le loro password crittografate. Ogni stringa utente deve essere separata sulla sua riga. Personalmente, lo uso e basta notepad ++ o Blocco note di Windows per creare il file.
Di seguito è riportato un esempio di file .htpasswd con due utenti:
Sebbene Apache non "richieda" all'utente di crittografare le password, è un processo semplice sia per i sistemi Windows che Linux.
finestre
Passare alla cartella BIN di Apache (solitamente disponibile in C: \ Programmi \ Apache Group \ Apache2bin) ed eseguire lo strumento htpasswd.exe per generare una stringa nome utente / password crittografata MD5. Puoi anche usare lo strumento per creare il file .htpasswd per te (qualunque cosa funzioni ...). Per tutti i dettagli, basta eseguire l'opzione help dalla riga di comando (htpasswd.exe /?).
In quasi tutti i casi, tuttavia, basta eseguire il comando seguente:
htpasswd -nb password nome utente
Una volta eseguito il comando, lo strumento htpasswd.exe genererà la stringa utente con la password crittografata.
La seguente schermata è un esempio dell'esecuzione dello strumento htpasswd.exe su Windows 2003 Server
Una volta ottenuta la stringa utente, copiarla nel file .htpasswd.
Linux:
Vai a: http://railpix.railfan.net/pwdonly.html per creare stringhe utente con password crittografate. Processo molto semplice.
Passaggio 3: verificare che Apache sia configurato correttamente * facoltativo
Per impostazione predefinita, in Apache sono abilitati i moduli corretti. Detto questo, non fa mai male essere un po 'proattivi e si tratta di un rapido "controllo".
Apri il tuo file httpd.conf di Apache e verifica che il modulo AUTH sia abilitato:
Se trovi che il modulo non è abilitato, correggilo come mostrato sopra. Non dimenticare; è necessario riavviare Apache per rendere effettive le modifiche a httpd.conf.
Questo dovrebbe occuparsene. Tutto fatto.
tag:apache, crittografia, htaccess, sicurezza, finestre