Реальный пиарСоздание сайтовБезопасность → Управление аутентификацией в Apache

Управление аутентификацией в Apache

что такое браузер

В вебсервер Apache встроен прекрасный механизм веб-аутентификации, управляемый через файлы .htaccess. На сегодняшний день это один из наиболее надёжных способов ограничить доступ к сайту или его отдельной страницы. Он широко используется для паролирования системы управления сайтов, но и имеет другие применения.

Обычно вебсервер Apache настроен таким образом, что позволяет создавать настройки прав доступа для любой папки, поместив в неё файл с именем .htaccess. Он представляет из себя обычный текстовый файл. В его функциях блокировка доступа и установка пароля. Если этот файл не срабатывает, то скорее всего либо такая возможность отключена для конкретного эккаунта (в случае с виртуальным хостингом), либо попросту не установлен модуль Apache mod_auth. Модуль устанавливается в файле конфигурации httpd.conf следующим образом:

AddModule mod_auth.c

Рассмотрим варианты применения этой возможности в Apache.

Блокирование части сайта или сайта целиком.

Для того, чтобы в папку на сайте никто не мог зайти, или чтобы сайт полностью был недоступен для посетителя, достаточно всего пары строк:

order allow deny
deny from all

Это наиболее простой пример.

Блокировка сайта для всех, кроме себя.

Это может пригодиться для тестового запуска сайта, когда зайти на сайт можете только Вы. Этот способ не требует особого пароля, идентификация выполняется по IP-адресу. Кроме того, можно использовать данную возможность для доступа к отдельной части сайта только с локального адреса, для этого пропишите IP 127.0.0.1.

order allow deny
deny from all
allow from 95.29.16.66

Паролирование папок сайта.

Такое использование механизма аутентификации наиболее часто используется на сайтах. В частности, им защищают системы управления сайтами. Этот механизм позволяет иметь бесконечное число пользователей и достаточно надёжную защиту. На запрос странички браузером сервер даёт ответ HTTP с кодом ошибки 401, что заставляет браузер запросить логин и пароль у пользователя:

Эти данные передаются серверу и он решает, допустить ли такого пользователя или нет. В дальнейшем браузер обычно запоминает введённые данные и передаёт их серверу автоматически, что очень удобно для пользователя.

Необходимо создать файл со следущим шаблонным содержимым:

AuthType Basic
AuthName "restricted area"
AuthUserFile /var/www/html/.htpasswd
<Limit GET POST>
require valid-user
</Limit>

В поле AuthName задаётся сообщение, которое получит пользователь, зайдя в запароленную папку. В AuthUserFile содержится путь к файлу с логином и зашифрованным паролем. Для его создания рекомендуем скрипт, уже описанный у нас на сайте в разделе "Антихакер" - "Паролирование папки". В нём может содержаться несколько записей о пользователях, каждый на новой строчке.

Следует учитывать, что формат имени файла .htaccess означает, что этот файл по умолчанию не отображается в списке файлов директории в Unix, он является скрытым. Для того, чтобы его увидеть, необходимо использовать опцию -a утилиты ls:

Следует иметь в виду, что такой способ паролирования и блокирования доступа к сайту наиболее надёжный и безопасный.


Источник: http://saytostroy.ru

Рекомендуем



Раскрытие данных в приложениях, использующих MySQL Существует универсальный способ раскрытия важных данных, таких как структуры таблиц MySQL в веб-приложениях, при соблюдении некоторых условиях


Волшебные Кавычки (Magic Quotes) Причем если данная директива установлена в on, это полностью отменяет установку директивы magic_quotes_gpc


Блокировка нежелательных обращений к серверу 1 находится в нежелательной сети, и нежелательные запросы исходят из всей сети, нужно блокировать всю подсеть