• 欢迎访问开心洋葱网站,在线教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入开心洋葱 QQ群
  • 为方便开心洋葱网用户,开心洋葱官网已经开启复制功能!
  • 欢迎访问开心洋葱网站,手机也能访问哦~欢迎加入开心洋葱多维思维学习平台 QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏开心洋葱吧~~~~~~~~~~~~~!
  • 由于近期流量激增,小站的ECS没能经的起亲们的访问,本站依然没有盈利,如果各位看如果觉着文字不错,还请看官给小站打个赏~~~~~~~~~~~~~!

给APACHE服务器的网站加htpasswd验证用户,让网站更安全

实用教程 开心洋葱 1857次浏览 0个评论

 给APACHE服务器的网站加htpasswd验证用户,让网站更安全

 

首先给出个例子先让你明白是什么意思,废话少说看下面的目录结构

/—–site (网站根目录)

    |——- (其他文件)

    |——-admin (管理员管理目录)

 

在admin 目录下增加.htaccess文件

.htaccess 内容

AuthName "Username and password required"
AuthUserFile /home/site/public_html/admin/.htpasswd
#AuthUserFile  D:/www/site/admin/.htpasswd (这是windows主机上的)
AuthType Basic
Require valid-user
order allow,deny
deny from all
satisfy any

在admin管理员目录下增加.htpasswd文件

.htpasswd文件如下

123:$apr1$J32…..$lEmIaDoJaXJ0DtNBSQ9ZY0  (这里是验证用户名和密码,当然了密码是采用加密算法的具体可以参考下面的htpasswd介绍)

 这是htpasswd的帮助介绍

Usage:
        htpasswd [-cmdpsD] passwordfile username
        htpasswd -b[cmdpsD] passwordfile username password

        htpasswd -n[mdps] username
        htpasswd -nb[mdps] username password
 -c  Create a new file.
 -n  Don't update file; display results on stdout.
 -m  Force MD5 encryption of the password (default).
 -d  Force CRYPT encryption of the password.
 -p  Do not encrypt the password (plaintext).
 -s  Force SHA encryption of the password.
 -b  Use the password from the command line rather than prompting for it.
 -D  Delete the specified user.
On Windows, NetWare and TPF systems the '-m' flag is used by default.
On all other systems, the '-p' flag will probably not work.

 

htpasswd建立和更新用于基本认证的存储用户名/密码的文本文件。如果htpasswd不能读写此文件,它返回一个出错代码,而不做任何修改。

服务器上的资源可以被限制为仅允许由htpasswd建立的文件中的用户所访问。此程序只能管理存储在文本文件中的用户名和密码,但是它可以加密并显示密码信息,从而可以为其他数据存储类型所利用。要使用DBM数据库,请参见dbmmanage 。
htpasswd使用专为Apache作了修改的MD5算法或系统函数crypt()加密密码。htpasswd所管理的文件可以包含两种类型的密码;有些用户的密码使用MD5加密的,而同一个文件中的其他用户密码则使用crypt()加密。
本手册页仅列出命令行参数,配置基本认证的相关指令的细节请参见mod_auth_basic文档。
top
语法
htpasswd [ -c ] [ -m ] [ -D ] passwdfile username
htpasswd -b [ -c ] [ -m | -d | -p | -s ] [ -D ] passwdfile username password
htpasswd -n [ -m | -d | -s | -p ] username
htpasswd -nb [ -m | -d | -s | -p ] username password
top
选项
-b
使用批处理方式。也就是直接从命令行获取密码而不进行提醒。使用这个选项需要特别注意,因为命令行中的密码是清晰可见的。
-c
创建passwdfile文件。如果passwdfile已经存在,那么将被清空并改写。该选项不能和 -n 同时使用。
-n
在标准输出上显示结果而不是更新文件。用于生成可以为Apache非文本输出存储格式所接受的密码记录。这个选项改变了命令行语法,因为passwdfile参数(通常是第一个)被忽略了。该选项不能和 -c 同时使用。
-m
使用MD5加密密码。在Windows, Netware, TPF上这是默认方法。
-d
使用crypt()对密码进行加密。在Windows, Netware, TPF以外的平台上这是默认方法。虽然有可能在所有的平台上被htpasswd支持,但是在Windows, Netware, TPF上,该方法不能被httpd所支持。
-s
使用 SHA 对密码进行加密。这种方法易于通过LDAP目录交换格式和Netscape server进行交换。
-p
使用明文密码(不加密)。虽然htpasswd在所有平台上都支持这种方法,但是httpd只能在Windows, Netware, TPF上支持这种方法。
-D
如果username存在于passwdfile中,则删除该用户。
passwdfile
包含用户名和密码的文本文件的名称。如果使用了 -c 选项,若文件已存在则更新它,若不存在则创建它。#p#分页标题#e#
username
在passwdfile中添加或更新记录。若username不存在则添加一条记录,若存在则更新其密码。
password
将被加密并存储到文件中的明文密码。必须和 -b 同时使用。
top
返回值

htpasswd仅在用户名和密码被成功存入passwdfile或成功更新的情况下返回"0"。若访问文件发生错误则返回"1";若命令行语法错误则返回"2";若密码验证失败则返回"3";若正在进行中的操作被打断则返回"4";若值(username, filename, password, 计算结果)长度超标则返回"5";若用户名包含非法字符(参见限制)则返回"6";若指定的文件不能被正确识别则返回"7"。
top
示例
htpasswd /usr/local/etc/apache/.htpasswd-users jsmith
添加或修改用户jsmith的密码。密码将被提示输入。在Windows平台上,密码将使用Apache修改过的MD5算法进行加密;在其它平台上将使用crypt()进行加密。如果指定的文件不存在,htpasswd将只返回一个错误代码,而不做其它任何事。
htpasswd -c /home/doe/public_html/.htpasswd jane
创建一个新文件并在其中添加一条用户jane的记录。密码将被提示输入。如果文件存在但是不能被读取或写入,则不会有任何记录被修改,同时htpasswd将会显示一个错误信息并返回一个错误代码。
htpasswd -mb /usr/web/.htpasswd-all jones Pwd4Steve
将来自命令行的密码(Pwd4Steve)使用MD5算法加密,并将其存入指定的文件。
top
安全方面的考虑
Web密码文件(比如由htpasswd管理)不应当存在于网络空间中,即不能被客户端有机会访问。
我们反对使用 -b 选项,因为密码将以明文的形式出现在命令行中。
top
限制
在Windows和MPE平台上,用htdbm加密的密码最大长度是255字符。超出部分将被截断。
htdbm使用的MD5加密算法已经被Apache修改过了,仅能够被Apache识别,不能被其它Web服务器识别。
用户最大长度是255字节,并且不能包含冒号(:)。

.htaccess文件
相关模块
* core
* mod_auth
* mod_cgi
* mod_include
* mod_mime
相关指令
* AccessFileName
* AllowOverride
* Options
* AddHandler
* SetHandler
* AuthType
* AuthName
* AuthUserFile
* AuthGroupFile
* Require
top
工作原理和使用方法
.htaccess文件(或者"分布式配置文件")提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个或多个指令的文件, 以作用于此目录及其所有子目录。
说明:如果需要使用.htaccess以外的其他文件名,可以用AccessFileName指令来改变。 例如,需要使用.config,则可以在服务器配置文件中按以下方法配置:
AccessFileName .config
允许放在这些文件中的指令取决于AllowOverride指令, 此指令按类别决定了.htaccess文件中哪些指令才是有效的。如果一个指令允许放在.htaccess文件中,则,在本手册的说明中,此指令会有一个覆盖段,其中说明了为使此指令生效而必须在AllowOverride指令中设置的值。
例如,本手册对AddDefaultCharset指令的说明表明了, 此指令可以用于.htaccess文件(见 Context一行),而Override一行是"FileInfo",那么为使.htaccess中的此指令有效,则至少要设置"AllowOverride FileInfo"。
例子:
Context: server config, virtual host, directory, .htaccess
Override: FileInfo
如果不能确定一个特定的指令是否允许用于.htaccess文件, 可以查阅手册中对指令的说明,看在Context(“上下文”)行中是否有".htaccess."。
top
使用.htaccess文件的场合
一般情况下,不应该使用.htaccess文件,除非你对主服务器配置文件没有存取权限。 有一种很常见的误解,认为用户认证只能通过.htaccess文件实现,但并不是这样, 把用户认证写在主服务器配置中是完全可行的,而且是一种很好的方法。
在内容提供者需要针对目录改变服务器的配置而对服务器系统没有root权限时,则应该使用.htaccess文件。如果服务器管理员不愿意频繁修改配置,则可以允许用户通过.htaccess文件自己修改配置,尤其是ISP在一个机器上 宿主多个用户站点,而又希望用户可以自己改变配置的情况下。
虽然如此,一般都应该尽可能地避免使用.htaccess文件。 任何希望放在.htaccess文件中的配置,都可以放在主服务器的<Directory>段中,而且更高效。
避免使用.htaccess文件有两个主要原因。#p#分页标题#e#
首先是性能。 如果AllowOverride允许使用.htaccess文件,则,Apache需要在每个目录中查找.htaccess文件,因此,无论是否真正用到, 允许使用.htaccess文件都会导致性能的下降。另外,每次请求一个页面时,都需要读取.htaccess文件。
还有,Apache必须在所有更高级的目录中查找.htaccess文件, 使所有有效的指令都起作用(参见how directives are applied.),所以, 如果有对/www/htdocs/example中页面的请求,Apache必须查找以下文件:
/.htaccess
/www/.htaccess
/www/htdocs/.htaccess
/www/htdocs/example/.htaccess
而且,对此目录以外的每个文件访问,还有4个附加的文件系统访问,即使这些文件都不存在。 (注意,这可能仅仅发生在 / 允许使用.htaccess文件的情况下,虽然这种情况并不多。)
其次是安全。 如此,会允许用户修改服务器的配置,可能会导致未加限制的修改,请认真考虑是否给予用户这样的特权。但是,如果给予用户较少的特权而不能满足其需要,则会带来额外的技术支持请求,所以,必须明确地告诉用户已经给予他们的权限,说明AllowOverride设置的值, 并引导他们参阅相应的说明,以免日后许多麻烦。
注意,在/www/htdocs/example目录下.htaccess文件中放置指令,与, 在主服务器配置文件中段中放置相同指令, 是等效的。:
/www/htdocs/example中的.htaccess:
/www/htdocs/example中.htaccess文件的内容
AddType text/example .exm
httpd.conf文件中的段

AddType text/example .exm

但是,把这个配置放置在服务器配置文件中则更加高效,因为只需要在Apache启动时读取一次, 而不是在有文件请求时每次都读取。
将AllowOverride设置为"none"可以完全禁止使用.htaccess文件。
AllowOverride None
top
指令的生效
.htaccess文件中的配置指令作用于.htaccess文件所在的目录及其所有子目录,但是,很重要需要记住的是,其更高级的目录也可能会有.htaccess文件, 而指令是按查找顺序依次生效,所以,一个特定目录下的.htaccess文件中的指令可能会覆盖其更高级目录中的 .htaccess文件的指令,即,子目录中的指令会覆盖更高级目录或者主服务器配置文件中的指令。
例如:
目录/www/htdocs/example1中的.htaccess文件有如下内容:
Options +ExecCGI
(注意: 必须设置"AllowOverride Options"以允许在.htaccess文件中使用 "Options"指令。)
在目录/www/htdocs/example1/example2中的.htaccess文件有如下内容:
Options Includes
由于第二个.htaccess文件的存在,/www/htdocs/example1/example2中 的CGI执行是不允许的,而只允许Options Includes,它完全覆盖了之前的设置。
top
认证举例
如果你为了知道如何认证,直接从这里开始看,有很重要的一点需要注意,有一种常见的误解,认为实现密码认证必须要使用.htaccess文件,其实不是这样。把认证指令放在主服务器配置文件的段中,是一个更好的方法,而.htaccess文件应该仅仅用于无权访问主服务器配置文件的时候。 参见上述的使用.htaccess文件的场合。
有此声明在先,如果你仍然需要使用.htaccess文件,请看以下说明。
必须设置"AllowOverride AuthConfig"以允许这些指令生效
.htaccess文件的内容:
AuthType Basic
AuthName "Password Required"
AuthUserFile /www/passwords/password.file
AuthGroupFile /www/passwords/group.file
Require Group admins
注意,必须设置AllowOverride AuthConfig以允许这些指令生效
更详细的有关身份识别和认证的说明,请参见authentication tutorial。
top
服务器端包含举例
.htaccess文件的另一个常见用途是允许一个特定目录的服务器端包含(Server Side Includes), 可以在需要的目录中放置.htaccess文件,并如下配置:
Options +Includes
AddType text/html shtml
AddHandler server-parsed shtml
注意,必须同时设置AllowOverride Options和 AllowOverride FileInfo使这些指令生效。
更详细的有关服务器端包含的说明,请参见SSI tutorial。
top
CGI举例
最后,可以通过.htaccess文件允许在特定目录中执行CGI程序,需按如下配置:
Options +ExecCGI
AddHandler cgi-script cgi pl
另外,如下,可以使给定目录下所有文件被视为CGI程序:
Options +ExecCGI
SetHandler cgi-script
注意,必须设置AllowOverride Options使这些指令生效。
更详细的有关CGI编程和配置的说明,请参见CGI tutorial。#p#分页标题#e#
top
疑难解答
如果在.htaccess文件中写入了配置指令但不起作用,可能有多种原因。
最常见的原因是,AllowOverride指令没有被正确设置, 必须确保没有对此文件区域设置AllowOverride None。有一个很好的测试方法,即, 在.htaccess文件随便增加点没用的内容,如果服务器没有返回了一个错误消息,那么几乎可以断定设置了AllowOverride None。
在访问文档时,如果收到服务器的出错消息,应该检查Apache的出错日志, 可以知道.htaccess文件中哪些指令是不允许使用的,也可能会发现需要纠正的语法错误。
 

 

认证、授权和访问控制
现有的语种: en | ja
认证是指任何识别用户身份的过程,以允许特定的用户访问特定的区域或信息。
* 相关模块和指令
* Introduction
* 准备工作
* 启用认证
* 允许多人访问
* 可能的问题
* 其他认证方法
* 更多资料
top
相关模块和指令
相关模块
* mod_auth
* mod_access
相关指令
* Allow
* AuthGroupFile
* AuthName
* AuthType
* AuthUserFile
* Deny
* Options
* Require
top
Introduction
如果网络站点上有些敏感信息或只希望为一个小群体所访问, 本文阐述的方法能确保使用户只能访问允许被访问的资源。
本文涵盖了保护站点资源的“标准”方法。
top
准备工作
本文中讨论的指令应该被放进主服务器的配置文件 (通常在段) 或者针对单个目录的配置文件(.htaccess files)中。
如果希望使用.htaccess文件, 则必须设置服务器以允许在这些文件中使用认证指令, 即,用AllowOverride指令 指定哪些指令在针对单个目录的配置文件中有效。
既然本文讨论认证,就应该对AllowOverride这样设置:
AllowOverride AuthConfig
如果你希望把这些指令直接写入主服务器配置文件,当然就需要有对配置文件的写权限。
而且,你需要对服务器的目录结构有所了解,以确定某些文件的位置。
top
启用认证
先介绍用密码来保护服务器上的目录。
首先需要建立一个密码文件。这个文件应该放在不能被网络访问的位置,以避免被下载, 例如,如果,/usr/local/apache/htdocs以外的空间不能被网络访问, 那么可以考虑把密码文件放在/usr/local/apache/passwd目录中。
Apache在其安装目录的bin子目录中提供了叫htpasswd的工具,以建立密码文件,可以这样使用:
htpasswd -c /usr/local/apache/passwd/passwords rbowen
htpasswd会要你输入密码,并要求重新输入以确认:
# htpasswd -c /usr/local/apache/passwd/passwords rbowen
New password: mypassword
Re-type new password: mypassword
Adding password for user rbowen
如果htpasswd不在搜索路径中,则必须使用完整路径, 如,/usr/local/apache/bin/htpasswd
然后,需要修改httpd.conf或.htaccess文件, 以指示服务器允许哪些用户访问并向用户索取密码。 例如,要保护 /usr/local/apache/htdocs/secret 目录, 则可以将下列指令写入 /usr/local/apache/htdocs/secret/.htaccess, 或者httpd.conf的 段。
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /usr/local/apache/passwd/passwords
Require user rbowen
其中,AuthType指令选择了对用户实施认证的方法, 最常用的是由mod_auth提供的Basic。很重要的必须认识到的一点是,Basic认证方法并不加密来自用户浏览器的密码,因此,不应该用于高度敏感的数据。Apache在最近的版本中还有另一种更安全的认证方法,即由mod_auth_digest提供的AuthType Digest。
AuthName指令设置了使用认证的领域, 它起两个作用,首先,此领域说明会出现在显示给用户的密码提问对话框中, 其次,也帮助客户端程序确定应该输入哪个密码。
所以,如果一个用户已经在"Restricted Files"领域通过了认证, 则客户端就可以尝试使用"Restricted Files"的密码来访问同一个服务器的其他任何领域, 从而使多个受限领域共享密码,以避免用户重复输入。当然,考虑到安全,如果服务器变了,客户端始终会要求重新输入密码。
AuthUserFile指令设置了密码文件, 也就是刚才我们已经用htpasswd建立的。如果用户很多则认证速度会很慢,因为对每个请求都必须搜索这个纯文本文件, 对此,Apache还支持把用户信息存入快速数据库, mod_auth_dbm模块提供了指令AuthDBMUserFile, 并可以用dbmmanage程序建立和操作这些数据库。 Apache模块数据库中还提供了其他许多认证选项。#p#分页标题#e#
最后,Require指令设置了允许访问的用户, 下一节将对Require指令作详细说明。
top
允许多人访问
上述指令只允许一个人(一个叫rbowen的用户)访问这个目录, 但是多数情况下,都需要允许多人访问,所以就要用到AuthGroupFile。
首先,需要建立一个组文件以确定组中的用户。 其格式很简单,可以用你喜欢的编辑器建立,例如:
GroupName: rbowen dpitts sungo rshersey
它只是每组一行的一个用空格分隔的组成员列表。
向已有的密码文件中增加一个用户,可以输入:
htpasswd /usr/local/apache/passwd/password dpitts
程序的提示和上面的一样,但是,它会附加到已有的文件中, 而不是建一个新的(参数-c可以强制建立新的密码文件)。
现在,需要修改.htaccess文件如这样:
AuthType Basic
AuthName "By Invitation Only"
AuthUserFile /usr/local/apache/passwd/passwords
AuthGroupFile /usr/local/apache/passwd/groups
Require group GroupName
如此,GroupName组中的成员都在密码文件中有一个相应的记录, 从而允许他们输入正确的密码以进入。
除了建立组文件,还有另一种途径允许多人访问,即使用如下指令:
Require valid-user
使用上述指令,而不是require user rbowen, 可以允许密码文件中的所有用户以正确的密码进行访问。这里甚至允许列举各个组,而为每个组建立密码文件, 其优点是,Apache只需要校验一个文件,而缺点是,必须维护众多密码文件,而且要确保AuthUserFile指令指定了一个正确的密码文件。
top
可能的问题
由于采用了Basic认证的方法, 每次向服务器请求甚至刷新一个受保护的页面或图片时都必须校验用户名和密码, 为此,必须打开密码文件并逐行搜索用户名,因此,服务器响应速度会受一些影响, 其程度与密码文件大小成正比。
所以,对密码文件中的用户总数存在一个实际上的上限, 此上限取决于特定的服务器机器的性能,但是一般有几百个用户就会对响应速度有明显的影响, 在这种情况下,可以考虑用其他认证方法。
top
其他认证方法
基于用户名和密码的认证只是方法之一,时常会有不需要知道来访者是谁, 只需要知道来自哪里的情况。
Allow和Deny指令可以允许或拒绝来自特定主机名或主机地址的访问, 同时,Order指令告诉Apache处理这两个指令的顺序, 以改变过滤器。
这些指令的用法:
Allow from address
这里的address可以是一个IP地址(或者IP地址的一部分), 也可以是一个完整的域名(或者域名的一部分),还可以同时指定多个IP地址和域名。
比如,要拒绝兜售垃圾的站点:
Deny from 205.252.46.165
如此,这个指令所管辖的区域将拒绝来自该地址的访问。 除了指定IP地址,也可以指定域名,如:
Deny from host.example.com
另外,还可以指定地址或域名的一部分来阻止一个群体:
Deny from 192.101.205
Deny from cyberthugs.com moreidiots.com
Deny from ke
Order可以组合Deny和Allow指令, 以保证在允许一个群体访问的同时,对其中的一些又加以限制:
Order deny,allow
Deny from all
Allow from dev.example.com
上例首先拒绝任何人,然后允许来自特定主机的访问。


开心洋葱 , 版权所有丨如未注明 , 均为原创丨未经授权请勿修改 , 转载请注明给APACHE服务器的网站加htpasswd验证用户,让网站更安全
喜欢 (0)

您必须 登录 才能发表评论!

加载中……