So schützen Sie unsere Websites mit .htpasswd + Beispielen

Aus vielen Gründen kann es sehr nützlich sein, über einen Authentifizierungsdienst, der auf Benutzername und Passwort basiert, kontrollierten Zugriff auf bestimmte Verzeichnisse auf einem Webserver oder einfach auf den Inhalt unserer Seite oder unseres Blogs zu haben. Ich spreche von so etwas wie dem typischen Fenster, das angezeigt wird, wenn wir eine Website mit eingeschränkten Diensten aufrufen möchten.

Es gibt verschiedene Möglichkeiten, Fenster mit Authentifizierungsformular zu generieren, es wird jedoch eine interessante Lösung auf Serverebene bereitgestellt htpasswd. Es ist ein Dienstprogramm, dessen Funktion darin besteht, Kennwörter in verschlüsselter Form zu speichern, die von Apache in Authentifizierungsdiensten verwendet werden. Seine Verwendung würde es uns ermöglichen, bestimmte Verzeichnisse oder Dateien über http nur identifizierten Benutzern anzuzeigen und ohne notwendigerweise für alle frei verfügbar zu sein.

Ich verstehe, dass es kein sehr auffälliges Thema ist, aber es kann für einige nützlich sein. Um sie nicht mit Langeweile zu töten, werde ich Bilder verwenden, um sie didaktischer zu gestalten.

Bisherige Überlegungen: Ich werde verwenden Ubuntu Server 12.04.1 y Apache 2.2.22 in einer kontrollierten Umgebung.

Wir fangen an

Wie einige von Ihnen vielleicht bereits wissen, werden die verfügbaren Apache-Sites standardmäßig im Verzeichnis gespeichert / var / www / und für dieses Beispiel werde ich ein Verzeichnis mit einer HTML-Vorlage erstellen und versuchen, es mit .htpasswd abzuschirmen.

Das zu schützende Verzeichnis ist / var / www / example / wo ich die nächste Seite platziert habe.

Auf dem Server

Im Browser

1. Wir werden die .htpasswd erstellen.

Der Ort, an dem es sich befindet, ist von relevanter Bedeutung, und das Platzieren außerhalb eines öffentlichen Verzeichnisses kann mehr als empfohlen sein. In meinem Fall werde ich es in meinem persönlichen Ordner (der kein öffentliches Apache-Verzeichnis ist) und mit dem Namen .htpasswd ablegen (A priori ist es nicht notwendig, es so zu nennen, aber das, was verborgen ist, ist immer gut).

Mit dem folgenden Befehl erstelle ich die .htpasswd-Datei für einen Webbenutzer, den ich als "Luke" bezeichnet habe.

# htpasswd -c /home/krel/.htpasswd Luke

Sie werden aufgefordert, das Passwort zweimal anzugeben. In meinem Fall habe ich "skywalker" (ohne Anführungszeichen) eingegeben. In einer unkontrollierten Umgebung müssen wir stärkere Passwörter festlegen. Die Standardverschlüsselung unter Linux ist MD5, aber unter Unix ist es eine Standardimplementierung von crypt () und für Kennwörter mit weniger als 8 Zeichen kann es anfällig sein. Jetzt habe ich den Zweifel, ob es bei BSD dasselbe ist.

Der Befehl hat folgende Struktur:

• -c → um die Datei zu erstellen

• /home/krel/.htpasswd → absoluter Pfad der Datei.

• Luke → der Benutzername (es kann sein, was immer Sie wollen)

Ebenso zwinge ich niemanden, das Terminal zu benutzen, wenn es im Internet Dienste dafür gibt:
http://www.web2generators.com/apache/htpasswd_generator

http://www.htaccesstools.com/htpasswd-generator/

Wir kopieren das Ergebnis in eine Textdatei und auf Wunsch mit dem Namen .htpasswd. Hören Sie in Bezug auf diese Methode nicht auf zu lesen, was ich im nächsten Absatz kommentiere.

In unserem Fall werden wir sehen, dass die Datei dort generiert wurde, wo wir sie erwartet haben /home/krel/.htpasswd. Im Bild habe ich hervorgehoben, dass bei dieser Methode die Datei zur Apache-Gruppe und zum Benutzer gehört, die in Ubuntu als www-Daten bezeichnet werden. Dies ist wichtig, da wir, wenn wir die .htpasswd auf andere Weise generiert haben, sicherstellen müssen, dass sie über 644 Berechtigungen verfügt.

Nun werden wir sehen, wie ihre Eingeweide aussehen:

Wie Sie sehen können, gibt es den Benutzer (Luke), aber das Passwort ist verschlüsselt.

Auf diese Weise haben wir bereits .htpasswd für den Benutzer Luke erstellt und entworfen, am Ende ist es nichts weiter als ein Container für das Passwort. "Alle mit einem Befehl" wäre ein gutes Schlagwort.

2. Konfigurieren Sie Apache so, dass dieser Dienst auf der Site verwendet und zugelassen wird.

# nano /etc/apache2/sites-available/default

Wenn Sie mehrere Hosts haben, müssen diese auf jedem von ihnen funktionieren. In meinem Fall habe ich nur den, der standardmäßig geliefert wird. Vergessen Sie nicht, dass es immer gut ist, eine Sicherungskopie dieser Datei zu erstellen.

Diese Datei hat die Standardstruktur:

ServerAdmin webmaster @ localhost

..................

..................

Genau in den Virtualhost-Überschriften wird die Verwendung von .htpasswd angegeben, um auf ein bestimmtes Verzeichnis zuzugreifen. Wir tun dies so, wie das folgende Bild erscheint und unserem Beispiel entspricht:

Gut. Ich erkläre die Zeilen:

Sie müssen das zu schützende Verzeichnis ablegen.

AuthType Basic

Dies ist die Art des Benutzers und des Kennworts, die mit dem Browser ausgehandelt werden. In diesem Fall handelt es sich um Basic ohne Verschlüsselung.

Es gibt eine andere Art der Aushandlung: Digest, diese verschlüsselt den Benutzernamen und das Passwort, das letzte Wort ist jedoch, ob der Browser diesen Dienst unterstützt. Digest kann gesagt werden, dass es eine etwas robustere Implementierung gegen Sniffer ist. Ich lade Sie ein, sich damit zu beschäftigen.

AuthName "Klopfen Sie vor dem Betreten an die Tür."

Es ist eine Nachricht, die dem Benutzer im Browser mit dem Anmeldeformular angezeigt wird und die wir möchten.

AuthUserFile /var/www/.pass/.htpasswd

Pfad der .htpasswd-Datei. Aus diesem Grund sage ich, dass es nicht einmal notwendig ist, es .htpasswd zu nennen, einfach den Pfad zu setzen würde genauso funktionieren.

Require valid-user

Diese Zeile ist für mehrere Benutzer mit individuellen Passwörtern konzipiert. Wenn es sich um einen einzelnen Benutzer handelt, kann dies als folgende Variante zusammengefasst werden.

Benötigen Sie den Benutzer el_que_sea

In meinem Beispiel könnte sein: Benötigen Sie Benutzer Luke

Und schließlich legen wir alles bei

Wir starten Apache neu:

# service apache2 restart

Lass es uns versuchen.

Wenn wir uns nicht korrekt authentifizieren, erhalten wir einen Fehler 401.

Auf der anderen Seite würde es uns ohne größere Unannehmlichkeiten passieren lassen, wenn wir den richtigen Benutzernamen und das richtige Passwort eingeben.

Zusätzliche Tipps.

• Mit diesem Befehl können Sie einer bereits erstellten htpasswd-Datei weitere Benutzer hinzufügen

htpasswd -mb /home/krel/.htpasswd Benutzerkennwort

Wenn Sie "Benutzer erforderlich" und nicht "Gültigen Benutzer erforderlich" festgelegt haben, müssen Sie den neuen Benutzer hinzufügen, gefolgt vom vorherigen und durch ein Leerzeichen getrennt. Beispiel:

Benötigen Sie Benutzer Luke Anakin

• Verwenden Sie Benutzergruppen

Wenn wir anstelle einzelner Benutzer Gruppen auf der folgenden Website bevorzugen oder mit ihnen arbeiten müssen, erklären sie dies ausführlich und es ist ein ausgezeichneter Artikel.
http://www.juanfelipe.net/node/23

• Wir können auch eine andere Art der Verschlüsselung festlegen, zum Beispiel: SHA

htpasswd -sb /home/krel/.htpasswd Benutzerkennwort

Hier ist ein Bild davon, wie sich die Registrierung eines SHA-Passworts in der .htpasswd widerspiegeln würde. In beiden war es "Skywalker".

Erfahren Sie mehr.

htpasswd - -Hilfe

Wenn Sie tiefer in dieses Thema einsteigen möchten, ist RTFM immer gut!
http://httpd.apache.org/docs/2.0/es/howto/auth.html

http://httpd.apache.org/docs/2.2/misc/password_encryptions.html

Dieses PHP-Skript von der Seite der Universität von Granada war auch neugierig auf mich, einen htaccess- und htpasswd-Generator zu erstellen. Ich konnte es nicht in die Praxis umsetzen, aber ich lade Sie ein, "mit Intelligenz zu hebeln".

Die HTML-Vorlage, die ich von dieser Seite erhalten habe, falls jemand interessiert ist.
http://www.templatemo.com/

Ich hoffe, Ihnen hat diese Präsentation gefallen.