Захист каталогу паролів на веб-сервері

    50

    Безпека каталогу
    Захист каталогів, каталоги паролів.

    Щоб захистити даний каталог паролем, ми поміщаємо в нього два файла:

    • .htaccess: інструкція по авторизації
    • .htpasswd: інформація про користувачів і їх зашифрованих паролів

    .htaccess / .htpasswd – це простий ASCII-файли, які ми можемо створити за допомогою текстового редактора, такого як простий блокнот або розширений редактор програмування. Варто відзначити, що це розширення файлів, а не імена.

    Ці файли повинні бути відправлені в режимі ASCII, а не BINARY. Ми даємо їм CHMOD 644 (файл, що використовується сервером, але забороняє його читання браузерами)

    Спочатку створіть файл .htpasswd, який краще всього розміщувати поза загальнодоступній області.
    Ми можемо створити зашифрований пароль в онлайн-генераторах:
    https://www.htaccesstools.com/htpasswd-generator/
    https://aspirine.org/htpasswd_en.html/

    https://www.narzedzia.cprojekt.pl/htpasswd

    Приклад вмісту файлу .htpasswd повинен виглядати наступним чином:

    uzytkownik:zdSVMujsXokkE

    Ви можете створити декілька логінів і паролів. Однак пам’ятайте, що кожна запис повинна починатися з нового рядка. Наприклад:

    uzytkownik1:jf05LdXAvmanYuzytkownik2:5z0GcRGJ.CitMuzytkownik3:rhGPWeaHukQb

    Маючи файл з паролем, саме час створити файл .htaccess. Для захисту каталогів введіть наступний синтаксис:

    AuthType BasicAuthName "My Protected Area"AuthUserFile /path/to/.htpasswdRequire valid-userlubRequire user janek franek iza

    AuthType – тип аутентифікації
    AuthName – ім’я (ім’я буде відображатися у вікні при введенні логіна і пароля)
    AuthUserFile – повний шлях сервера до файлу .htpasswd (це не посилання, це шлях до сервера)
    Потрібно – користувачі, авторизовані для перегляду ресурсу. Замість того, щоб перераховувати користувача окремо, ми можемо використовувати параметр valid-user – тоді всі користувачі з відповідними записами .htpasswd зможуть увійти в систему.

    Якщо ми не знаємо шлях до сервера, ми можемо запустити скрипт через веб-браузер в цьому каталозі, який відображає шлях до каталогу, з якого він запущений.

    Ви також можете використовувати дуже цікавий скрипт, який ви запускаєте з каталогу, який ви хочете захистити. Після введення імені користувача і пароля скрипт автоматично збереже файли .htaccess / .htpasswd.

    Корисні сайти з генераторами:
    https://htaccess.lapti.pl/index.php#dol
    https://taat.pl/narzedzia/htpasswd/index.php

    Якщо ви намагаєтеся отримати доступ до захищеного каталогу, з’явиться вікно авторизації із запитом вашого імені користувача і пароля:

    Захист файлів
    Ви також можете захистити доступ до файлів ззовні. Після введення адреси в файл, в браузері з’явиться повідомлення про відсутність доступу (заборонено).
    Все, що вам потрібно зробити, це створити файл .htaccess, який говорить:

    order allow,denydeny from all

    Таким чином, ви можете захистити сам файл .htaccess, помістивши в нього такий запис. Замість .php файлу введіть ім’я файлу, який потрібно заблокувати.

    # protect the htaccess fileorder allow,denydeny from all# protect wpconfig.phporder allow,denydeny from all

    Ви також можете захистити файл за допомогою пароля, як каталоги. Тут вам знадобляться обидва файлу, файл .htaccess має синтаксис (можливість захисту декількох файлів):

    AuthType BasicAuthName "My Protected Area"AuthUserFile /path/to/.htpasswdrequire valid-userrequire valid-user

    Приклад захисту файлу, що відповідає за вхід у WordPress:

    RewriteEngine OnAuthName "OBSZAR CHRONIONY"AuthType BasicAuthUserFile /home/xxx/domains/www.pl/.htpasswd/public_html/.htpasswdRequire valid-userErrorDocument 401 "Unauthorized Access"ErrorDocument 403 "Forbidden"