Защита сайта с помощью .htaccess и .htpasswd

Защита сайта с помощью файлов .​htaccess и .​htpasswd является важным аспектом обеспечения безопасности веб-ресурса.​ .​htaccess и .​htpasswd предоставляют возможность создания дополнительного уровня аутентификации для ограничения доступа к определенным разделам сайта.​

.​htaccess

.​htaccess ― это файл конфигурации, который позволяет определять правила доступа и другие параметры для конкретной директории или ее поддиректорий.​ Этот файл может использоваться для определения правил перенаправления, установки кэширования, фильтрации запросов и, конечно, для ограничения доступа к контенту сайта.​

Команды .​htaccess для ограничения доступа

• AuthType ― указывает тип аутентификации; например, «Basic» для базовой аутентификации.
• AuthName ౼ устанавливает имя аутентификации, которое отображается при запросе пароля.​
• AuthUserFile ― определяет путь к файлу .​htpasswd, который содержит информацию об аутентификации.​
• Require ౼ указывает требования для доступа к содержимому; например, «valid-user» для всех допустимых пользователей.

Пример .​htaccess файла с настройками аутентификации⁚

  
    AuthType Basic
    AuthName "Restricted Area"
    AuthUserFile /path/to/.​htpasswd
    Require valid-user
  

.​htpasswd

Файл .​htpasswd содержит информацию о пользователях и их зашифрованных паролях.​ Каждая строка файла содержит имя пользователя и соответствующий зашифрованный пароль, разделенные двоеточием.​ .​htpasswd может быть создан с помощью утилиты htpasswd и должен храниться в недоступной для просмотра директории.​

Создание .​htpasswd файла

Пример команды для создания .​htpasswd файла⁚

  
    htpasswd -c /path/to/.htpasswd username
  

Где «-c» указывает на создание нового файла, «/path/to/.​htpasswd» ౼ путь к файлу .​htpasswd, а «username» ౼ имя пользователя.​

После выполнения этой команды будет запрошен пароль для нового пользователя, и его зашифрованная версия будет добавлена в .​htpasswd файл.​

Использование файлов .​htaccess и .​htpasswd ― это мощный способ защитить конфиденциальную информацию на веб-сайте.​ Путем настройки дополнительного уровня аутентификации, директивы .​htaccess предотвращают несанкционированный доступ к содержимому вашего сайта, что делает их незаменимым инструментом безопасности.

Обычная проверка подлинности

В этой статье описывается самый простой из доступных методов проверки подлинности.

Примечание

Аутентификация — это процесс, с помощью которого мы проверяем, что кто-то является тем, кем они себя называют. Обычно проверка осуществляется путем ввода имени пользователя и пароля.

Давайте посмотрим, как работает базовая проверка подлинности.
Когда посетитель входит в защищенный каталог, сервер Apache отвечает заголовком 401, который требуется для проверки подлинности. Браузер посетителя получает заголовок 401 и отображает окно с полями для ввода имени пользователя и пароля. После ввода имени пользователя и пароля эти данные отправляются обратно на сервер, который проверяет имя пользователя в специальном списке и правильность пароля. Если он действителен, гостю предоставляется доступ к ресурсу. Специальное имя, называемое областью, отправляется браузеру вместе с заголовком. Браузер кэширует не только имя и пароль, чтобы его можно было передать с каждым запросом, но и область действия. Это гарантирует, что имя и пароль в защищенном каталоге вводятся только один раз. В противном случае их придется вводить каждый раз, когда делается запрос к защищенному каталогу. Кэширование параметров аутентификации (имя пользователя, пароль, область действия) обычно происходит только в рамках одного сеанса.

Примечание

Для базовой аутентификации имя пользователя и пароль прозрачны загружаются в сеть во время сеанса, пока гость работает с защищенным каталогом. Хакер может перехватить эту информацию с помощью сниффера сетевых пакетов. Этот тип аутентификации не следует использовать там, где вы действительно хотите защитить ценную бизнес-информацию.

Примечание

Веб-сервер Apache поддерживает другой тип безопасности. , введите дайджест аутентификации. При аутентификации по хэшу пароль передается не как обычный текст, а как хэш с использованием алгоритма MD5. В результате пароль не может быть перехвачен во время проверки трафика. Но, к сожалению, для использования дайджест-аутентификации на сервере должен быть установлен специальный модуль mod_auth_digest. За это отвечает только администрация сервера. Кроме того, до недавнего времени дайджест-аутентификация поддерживалась не во всех браузерах.

Защита вашего сайта проста

Для защиты вашего сайта требуется следующая последовательность: создайте файл паролей, загрузите его в сервер, создайте файл htaccess и также загрузите его на сервер.
Требуется решение безопасности.

1. Веб-сайт и доступ по FTP.
2. Разрешение на создание файлов .htpaccess и их использование для защиты.
3. Генератор паролей htpasswd.exe

Проверьте .htaccess на сервере

Проверьте, есть ли у вас разрешение на использование файлов .htaccess создает текстовый файл с именем. htaccess (первый символ — точка, без расширения).

Примечание

Удобно создавать файлы .htaccess с помощью встроенного редактора в Far, WindowsCommander, TotalCommander и т. Д. И Блокнот.

Примечание

Чтобы запретить Блокноте автоматически отображать расширение txt, выберите & # 171; Файл введите & # 187; а затем используйте раскрывающийся список & # 171; Все файлы & # 187;.

Перед сохранением напишите в файл следующие строки:

Отметьте .htaccess

 AuthType Basic
Администратор AuthName
require valid-user 

Затем сохраните файл .htaccess через FTP-доступ к сайту в каталоге, который вы хотите защитить.

Предупреждение

Файл .htaccess работает не только в каталоге, в котором он находится, но и в подкаталогах ниже.

Затем войдите в этот каталог через браузер. Если вы защищаете корневой каталог и у вас есть перезаписанный файл .htaccess, вам нужно будет ввести следующееURL-адрес в адресной строке вашего браузера для проверки: http://www.mysite.ru/admin/.

Если вам будет предложено ввести имя пользователя и пароль, как показано на картинке ниже тест пройден, и вы можете продолжать защищать каталог.

Если вы все сделали правильно, но поле для ввода пароля не появилось, это означает, что настройки сервера запрещают использование файлов .htaccess для защиты каталоги. Свяжитесь с администрацией вашего сервера, чтобы исправить это или использовать другой тип безопасности.
После того, как вы определили, что файлы .htaccess работают, удалите только что написанный вами тестовый файл со своего сайта.

Примечание

Если по какой-то причине вы не можете удалить файл .htaccess, создайте пустой файл .htaccess и замените его файлом на сервере.

Создание файла .htpasswd

Файл пароля создается утилитой htpasswd.exe. Если на вашем компьютере установлен Apache, этот инструмент находится в каталоге установки Apache в подкаталоге bin.

Примечание

Если у вас нет Apache установлен, вы можете загрузить утилиту htpasswd.exe со страницы http://www.softtime.ru/files/htpasswd.zip.

Для предприятия htpasswd.exe требуется Интерфейс командной строки. Интерфейсы командной строки предоставляются такими программами, как Far, WindowsCommander и т. Д. Здесь мы объясняем, как работать с командной строкой с помощью утилиты cmd, поставляемой с Windows 2000/XP и т. Д.
Нажмите «Пуск»; — & gt; & # 187; Выполнить & # 187; введите cmd в строку ввода и нажмите ОК. Откроется окно утилиты CMD.

Затем перейдите в каталог, в котором находится утилита htpasswd.exe. Предположим, ваш сервер Apache установлен в каталоге c:/Apache2, введите в командной строке cd ../../apache2/bin и нажмите Enter.

Теперь вы находитесь в каталоге c: Apache2. Теперь вы должны подать команду для создания файла паролей. В командной строке введите:

 htpasswd -cm .htpasswd admin 

* -cm — ключ для утилиты. Ключ c означает, что необходимо создать новый файл паролей. Если файл с таким именем уже существует, он будет перезаписан. Ключ M — определяет шифрование MD5.
* .htpasswd — имя файла паролей (можно использовать любое имя).
* admin — имя посетителя, которому будет предоставлен доступ к закрытой части страницы.

W отвечает, программа должна запросить пароль и повторить его. Если все в порядке, появится сообщение о завершении: Добавление пароля для администратора. А в каталоге c: Apache2 у нас будет файл .htpasswd, который будет содержать строку с хеш-кодом имени пользователя и пароля. Чтобы добавить другого пользователя в тот же файл .htpasswd, удалите переключатель -cz для htpasswd.exe

 htpasswd -m .htpasswd admin 

Примечание

Если файл паролей не был создан, могут быть ключи, которые не поддерживаются операционной системой. Например, иногда клавиша m не поддерживается. В этом случае введите htpasswd -c .htpasswd admin
Чтобы просмотреть ключи и параметры в инструменте, введите htpasswd.exe/? Появится описание интерфейса.

Хорошо, файл с паролями создан. Теперь вам нужно передать его на сервер. Файлы паролей следует размещать над корневым каталогом вашего сайта, чтобы к ним не мог получить доступ другие пользователи.
Если это невозможно, защитите файлы паролей. Это можно сделать с помощью файлов .htaccess. Чтобы защитить файлы паролей, создайте файл со строками, показанными в следующем листинге.

Защитите файлы .htpasswd

 deny от всех 

И поместите его в каталог, в котором находится ваш файл паролей. Теперь посетители сайта не смогут получить к нему доступ.
Создается файл паролей, который защищен от несанкционированного доступа. Теперь нам нужно создать файл .htaccess, который будет использоваться в защищенном каталоге.

Создание файла .htaccess

Чтобыследующие директивы могут использоваться для защиты каталога:

* AuthType — Тип используемой аутентификации. Для базовой аутентификации эта директива должна иметь значение: Basic
* AuthName — имя области аутентификации. Текст, чтобы помочь посетителю понять, куда он пытается получить доступ. Например, это может быть: & # 171; Личная зона. Только администратор!
* AuthUserFile — Путь к файлу паролей (.htpasswd).
* AuthGroupFile — Путь к файлу группы, если таковой имеется.
* Require — Одно или несколько требований, которые должны быть выполнены для того, чтобы для доступа к приватной области.

Пример .htaccess

 AuthType Basic
AuthName & quot; Личная область. Только для админа! "
AuthGroupFile/usr/хост/mysite/группа
AuthUserFile/usr/host/mysite/.htpasswd
 
требуются администраторы группы 

Директивы AuthUserFile и AuthGroupFile должны быть описаны более подробно. Эти директивы дают абсолютные пути к соответствующим файлам в корне сервера.

Предупреждение!

Дифференциальные пути не работают!

Корневой путь сервера может можно найти, обратившись к администрации сервера, вы также можете попробовать найти его самостоятельно. Сделайте это с помощью функции phpinfo (). Это отобразит фиолетовую таблицу. Значение абсолютного пути от корня сервера можно найти в переменных: doc_root, open_basedir, DOCUMENT_ROOT.
Директива Require определяет, кто имеет доступ к ограниченной области. Например,

* require valid-user — разрешить доступ всем проверенным пользователям. * Require user admin alex mango — разрешить доступ только для гостей с именами admin, alex, mango. Конечно, он должен быть аутентифицирован.
* Требуются администраторы группы — Разрешить доступ всем пользователям в группе администраторов

Файлы группы

Если большой группе людей нужен доступ к В защищенной области сайта удобно организовывать людей в группы и разрешать доступ, определяя, к какой группе принадлежат посетители.
Формат файла группы очень прост. Это текстовый файл, в котором каждая строка описывает отдельную группу. В первой строке должно быть имя группы, за которым следует двоеточие. Далее следует пробел для перечисления гостей, принадлежащих к группе.

Пример файла группы

 Администраторы: admin alex mango
Пользователи: гостевой пользователь max23 

В группу администраторов входят гости с именами admin, alex, mango. А группа «Пользователи» содержит гостей с именами guest, user, max23.

Примеры .htaccess

AuthType Basic для всех аутентифицированных пользователей

 AuthType Basic
AuthName & quot; Личная область. Только для админа! "
AuthUserFile/usr/host/mysite/.htpasswd
требуется действующий пользователь 

только администратор и root-доступ

 AuthType Basic
AuthName & quot; Личная область. Только для админа! "
AuthUserFile/usr/host/mysite/.htpasswd

требуется пользовательский администратор root

Доступ только для пользователей в группе администраторов

 AuthType Basic
AuthName & quot; Личная область. Только для админа! "
AuthUserFile/usr/host/mysite/.htpasswd
AuthGroupFile/usr/хост/mysite/группа
требуются администраторы группы 

Блокировать доступ только private.zip

 AuthType Basic
AuthName & quot; Личная область. Только для админа! "
AuthUserFile/usr/host/mysite/.htpasswd
требуется действительный пользователь