Hasło poprzez .htaccess i .htpasswd
Czasem przydaje się zabezpieczenie hasłem pewnego katalogu na serwerze WWW. Przydatny do tego jest już wcześniej wspominany plik .htaccess – dla serwera Apache. Aby ograniczyć dostęp do katalogu/strony tylko osobom znającym hasło, należy w zabezpieczanym katalogu umieścić plik .htaccess zwierający:
AuthName "Podaj haslo"
AuthType Basic
AuthUserFile /sciezka_do_katalogu/.htpasswd
Require valid-user
Gdzie AuthName może być dowolnym tekstem. W linijce /sciezka_do_katalogu/.htpasswd należy podać pełną ścieżkę do pliku .htpasswd o którym będzie za chwilkę.
Następną czynnością jest utworzenie pliku .htpasswd, zawierającego nazwy użytkowników i ich hasła. Plik ten tworzy się w postaci:
username:password
gdzie password jest odpowiednio zakodowane. Przykładowo dla użytkownika pawel i hasla mojehaslo, plik .htpasswd przyjmie postać:
pawel:8OytGCYCAPbS6
Plik .htpasswd powinien być trzymany poza katalogiem web root, czyli tam gdzie zwykły użytkownik nie ma dostępu. Hasła do pliku .htaccess można zakodować przez htaccess password generator.
Od teraz każda próba wejścia do zabezpieczonego katalogu wywoła monit o hasło:
Jeśli hasła nie znamy pokaże się nam komunikat 401 Authorization Required :)
15.07.2006 | trackback | Śledź komentarze w tym wątku: RSS 2.0.
Kategorie: Strony WWW
wydawaloby sie ze wszystko takie proste ale dzialac nie chce :/
Hmmm… no to dziwne, a jakie są objawy? Może pomogę.
Niestety u mnie też nie chce chodzić :/ Zrobiłem wszystko tak jak trzeba, korzystałem z kilku niezależnych generatorów haseł i wciąż nie mogę się poprawnie zalogować. Za każdym razem wyskakuje strona logowania, ile razy bym się nie logował.
Hmm… W wolnej chwili będę musiał to sprawdzić. Bardzo możliwe, że trzeba coś włączyć w httpd.conf, albo podać inaczej ścieżkę do .htpasswd…
Problem pewnie jest w generowaniu hasla proponuje uzyc
htpasswd .passwords user pass
dziala, dziekuje
Mi nie chodzi. Nie pokazuje się takie okienko !
Chłopie! Ty nie masz pojęcia co robisz. Najpierw jakaś literatura, a potem twórz opisy. Pozostaje jeszcze wpis w httpd.conf.
Rzadko kiedy masz możliwość edycji httpd.confa, a z opisaną metodą nie miałem nigdy problemu na domyślnych ustawieniach w httpd, więc wiem co piszę.
naprawde świetny poradnik… !!! szkoda tylko ze nic nie wspomniałes wymaganej konfiguracji serwera! ktora zreszta odgrywa kluczowe znaczenie!! naprawde… super! widac odrazu ze masz pojecie o czym piszesz
hahahaha
Heh, w konfiguracji serwera to sobie możesz wszystko ustawić. Nie spotkałem się jeszcze z sytuacją aby ten przykład nie działał, a miałem okazję sprawdzić go na kilku hostingach. Jak masz serwer pokracznie skonfigurowany, to swoje żale do admina wysyłaj. Nie życze sobie komentarrzy na poziomie dzieci z podstawówki.
mi dziala wystarczyło zminic sciezke z
AuthUserFile /sciezka_do_katalogu/.htpasswd
na
AuthUserFile sciezka_do_katalogu/.htpasswd
Wszystko działa, za pierwszym podejściem, sprawa jest tak prosta, że tylko pokraczny wpisujący lub pokraczny serwer może stać na przeszkodzie… pozdrawiam autora :]
Zapomniałeś napisać o prawach dostępu do pliku .htaccess – bedziesz mial chmod 700 na nie i raczej Ci nie pyknie prawda ? :) – pozdrawiam
tyczy się to też pliku .htpasswd
Działa pięknie. Dzięki za pomocny artykuł.
[...] w panelu administracyjnym webhostingu ewentualnie mo
Wszystko działa poprawnie, dzięki wielkie!
no działa :P
Wszystko dziala bez problemu tylko dobrą ścieżke trzeba podać od katalogu podstawowego.
Co do generatora to też działa bez problemu.
Nie przyłożyłeś się do tego artu. Po pierwsze wpisujemy:
‘AuthName’ „Podaj haslo”
a nie
AuthName „Podaj haslo”
Po drugie ścieżka do katalogu ma być bezwzględna, a nie z domeny.
Po trzecie to konf. każdego serwera jest inna, więc nie pisz, że ty podałeś jak wszystko jest dobrze…
Ale bardzo treściwy i skondensowany artykuł i za to Ci chwała. Blog również mi się podoba.
2 dni siedziałem nad tym zagadnieniem i nic.
To jest treściwe i właściwe wyjaśnienie problemu.
Pozdrawiam
Sciezka MUSI BYC BEZWZGLEDNA !!!
Też się nad tym głowiłem i w końcu doszedłem do tego jak to zrobić. Generalnie opisana tutaj metoda jest dobra, ale BRAKUJE informacji o tym że należy zmodyfikować plik httpd.conf.
Dyrektywą odpowiedzialną za szukanie pliku htaccess jest:
AccessFileName .htaccess
Ponadto jest jeszcze jedna dyrektywa która mówi apaczowi co ma zrobić z napotkanym plikiem htaccess i nazywa się AllowOverride. Aby ta dyrektywa NIE ignorowała pliku htaccess należy ją ustawić na:
AllowOverride All
I wtedy strona powinna być już zabezpieczona hasłem :)
Witam,
Autor opisał tutaj metodę do konfiguracji poprzez .htaccess i jest to zrobione na tyle dobrze, że założenie hasła zajęło mi ok 30 sekund.
Jeśli ktoś ma problemy z konfiguracją serwera to jest to zupełnie oddzielny temat! Przecież ustawienie czegokolwiek poprzez .htaccess z góry wymaga jego działanie… Wystarczy rozumieć czytany text.
To samo tyczy się podstawowej wiedzy, o systemach unixowych (tutaj: ścieżka do pliku).
No nie do końca. Plik .htaccess jest po to żeby użytkownik- nie administrator serwera mógł unieważnić ( override ) dyrektywy Apache’a ustawione w głównym pliku / plikach konfiguracyjnych. Założenie jest takie że nie masz tam dostępu. Jeżeli możesz modyfikować httpd.conf to lepiej wsadzić dyrektywy tam i wyłączyć .htaccess.
Problem z nim jest taki, że jesli jest właczony, to apache szuka go w każdym otwieranym katalogu, czyli np jeśli masz url’a http://mojserver.com/pliki/zdjecia/2009/zdjecie10.htm to szuka najpierw w głównym , potem w ./pliki potem w ./pliki/zdjecia a potem w ./pliki/zdjecia/2009. To wszystko zajmuje mu trochę czasu i generalnie powoduje większe obciążenie serwera. Jak masz 30 odwiedzin dziennie to może nie mieć znaczenia, ale jak kilka milionów to już co innego.
Ja mam na wszystkich serwerach .htaccess wyłączony. Włączam tylko na maszynach testowych, żeby programiści mogli sobie poeksperymentować nie przeładowując Apache’a co chwila. W środowisku produkcyjnym oszczędzam każdy bajt pamięci i milisekunde czasu procesora więc pakuje te dyrektywy do głównego konfiga.
Dyrektywa „AllowOverride All” pozwala zmieniać wszystkie parametry dla danego katalogu/vhosta – do autoryzacji wystarczy AlowOverride AuthConfig
Ale lepiej jest AlowOverride None i w konfiguracji virtual host’a dać:
# Żeby zabezpieczyć hasłem strone http://mojserver/tajny
AuthName „Cokolwiek”
AuthType Basic
AuthUserFile /sciezka_do_katalogu/.htpasswd # bezwzględna ścieżka
require valid-user
Dlatego uzupełniłbym to, skąd innąd niezłe howto o tę informację.
Chłopak pomaga a wy macie problem, ludzie potrafią być faktycznie idiotami…
Działa bez problemu i zawsze działało.
Faktycznie, niektórzy to są delikatnie mówiąc „inni” … Pozdrawiam Autora i sugeruję – tak jak zalecał Sz.P. Ładowny – uaktualnienie artykułu o pewne istotne informacje :)! Może zadowoli to malkontentów …
Z wyrazami najszczerszego szacunku :)!
Darek
[...] czyli hasło na katalog, o którym kiedyś [...]
A ja dopiero co zacząłem i nie wiem jak stworzyć plik .htaccess, ponieważ wymaga nazwy i mam zonka… może ktoś pomóc??
A może wystarczy wpisać htpasswd -c sciezka_do_katalogu/.nazwa_pliku użytkownik wygeneruje nam nowy plik z hasłem, pozdrawiam :)
a.htaccess tworzysz sam tj mcedit > F10 > .htaccess
Dla uzytkownikow systemow Windows i Notatnika wazna uwaga. Notatnik lubi dodawac dziwne znaczki (w zaleznosci od kodowania) na poczatku pliku. Jesli zapiszecie .htaccess lub .htpasswd w Notatniku na 99% ujrzycie blad serwera 500. Proponuje zapisac plik w innym edytorze i przyjrzec sie wszystkim znaczkom. Najlepiej nie wiem cos jak najbardziej zblizonego do VI.
Witam
Sposób działa.
Faktyczni jest potrzebny odpowiedni wpis w httpd.conf, mniej obeznani webmasterzy mogą nie wiedzieć co to jest i jak to działa – warto dowiedzieć się czy odpowiedni wpis o których pisali moi poprzednicy jest wykonany.
Ścieżka bezwzględna – też z tym zawsze mam problem, czasem względna czasem bezwzględna czasem z .. a czasem koniecznie cała.
Zamiast złościć się warto by było małą dygresję o katalogach w środowisku Linux, powiązaniu Apache z katalogami i po problemie, a nie wściekać się na innych. Nikt z nas nie urodził się z tą wiedzą.
Dygresja:
W środowisku Linux/Unix odmiennie jak w Windows wszyscy użytkownicy mają swoje katalogi (nazywają się przeważnie tak jak login) w jednym zbiorczym katalogu HOME.
Standardowo HOME jest umiejscowiony w katalogu / (tak jedna ukośna kreska).
Podając ścieżkę należy podać:
/home/nasz_login/public_html/dalej_katalogi_tak_aby_dojsc_do_konkretnego_z_.htaccess
Autor zamiast poniżać faktycznie powinien zrobić pewne korekty w tekście.
moja przygoda z pingwinem trwa już od 6 lat, mimo to pamiętam czasy gdy była to czarna magia. Społeczności i nauka na „knifach” to potężne narzędzie ;)
Pozdrawiam
co do bezwzględnej ścieżki – chyba najłatwiej uzyskać ją wywołując w katalogu, w którym chcemy umieścić nasz plik .htpasswd, skrypt zawierający linię:
echo __FILE__;
i ta stała właśnie zawiera bezwzględną ścieżkę do naszego skryptu i zarazem do folderu.
Miałem z tym problem pod systemem Windows i dopiero co doszedłem do rozwiązania ;)
Co dziwne, pisząc np. polecenie:
ErrorDocument 404 /page404.html
plik page404.html zostanie wywołany z głownego katalogu serwera, ale jeśli tak samo postąpimy z .htpasswd, to niestety dostaniemy error 500 ;]
Ścieżka nie musi być bezwzględna. Może być względna, gdzie punktem odniesienia jest ServerRoot.
Posikałem się ze śmiechu.
Ładowny (post 26) poucza wszystkich jak ma być, bo jest wielkim adminem z milionami odwiedzin (marzenia rzecz piękna). Tyle, że w tych pouczeniach był bliski, ale niestety nie trafił w prawidłową składnię konfiguracji.
A tak przy okazji to jeśli ktoś na podstawie powyższego opisu nie potrafi tego zrobić to lepiej niech sobie odpuści. Nawet jak jakimś cudem mu się uda to i tak za chwilę będzie miał ‘gości’ bo zapewne coś innego sp…..
Pozdrowienia dla autora opisu i myślących.
Ty Sławek coś chciałeś dodać do meritum czy tylko popierdziałeś i poszedłeś? Pisz o konkretach dotyczących meritum albo wcale!
Zamotaliśmy wszyscy w tym temacie na czele z autorem. Testowałem na kilku serwerach i…
Składania podana przez autora jest poprawna, ale w przypadku 3 linii MUSI być to ścieżka bezwzględna. Bezwzględna w tym wypadku ścieżka na maszynie, a nie bezwzględna ścieżka z domeny, która to zwykle wskazuje na folder public_html.
AuthName „Podaj haslo”
AuthType Basic
AuthUserFile /sciezka_bezwzgledna_do_katalogu/.htpasswd
Require valid-user
Jak słusznie ktoś podał wystarczy sobie w folderze stworzyć pliczek PHP i napisać w nim:
echo __FILE__;
Następnie otworzyć stronę, skopiować wynik i wkleić do 3 linii. Temat nie jest taki łatwy, bo każda firma hostingowa ma nieco inne konfiguracje. Najbardziej utrudnia życie klientom OVH, które prawie wszystkie wpisy w HTACCESS ma niestandardowe…
super artykuł. Dla mnie bardzo pomocny.
Mam konto na serwerze szkolnym i właśnie coś takiego jest mi potrzebne i nie działa. W ogóle nie ma żadnej reakcji. Katalog, który chce ukryć to /www/Szkoła do którego wgrałem plik .htaccess w katalogu /www/ jest plik .passwd z loginem i wygenerowanym hasłem. Wszystko do zobaczenia na stronie mstefanowicz.student.zsl.gda.pl proszę o pomoc. Mail
: snap171@o2.pl;
gg: 8106441 (z reguły niewidoczny)
PzDr.
Info dla klientów home.pl – tak nie działa. Tam robią to trochę po swojemu: https://home.pl/dokumentacja/funkcjeserwera/htaccess/dostep
Dzięki za ten wpis. Krótko, rzeczowo i przede wszystkim skutecznie.
Na serwerze home wszystko działa pięknie :)
Działa elegancko tylko faktycznie brakowało informacji o tym że ścieżka do pliku .htpasswd ma być bezwzględna.
Działa wzorowo, ścieżka musi być bezwzględna a zakończenia linii musiałem przekonwertować na UNIXOWE (z CR LF na LF))
jak wyżej, wszystko w opisie się zgadza i oczywiście nie ma prawa działać o ile nie jest odpowiednio skonfigurowany serwer, domyślnie Apache2 nie wyświetla plików .htpasswd i .htaccess jednak kompletnie je ignoruje i nigdy nie pyta o hasło jeśli nie jest taka reakcja skonfigurowana w Apache2.conf dawno temu w epoce kamienia łupanego to był httpd.conf który teraz nie ma znaczenia.
A mi wyskakuje internal server error. Co to moze byc?
Nie otwiera mi się ta strona z generatorem. Ale dzięki za ten artykuł…
dzięki za wpis, bardzo się przydał i pomógł
„A mi wyskakuje internal server error. Co to moze byc?”
też miałem taki problem, z logów apacha wyczytałem:
„No such file or directory: Could not open password file: /etc/apache2/.pass”
czyli był problem ze ścieżką, bo w .htaccess podałem „.pass” a musi być podana ścieżka bezwzględna
czyli np. „/var/www/xxx/yyy/.pass”
Dzięki, artykuł pomógł mi odświeżyć nieco wiedzę bo dawno tego nie robiłem. Co prawda nie działało od razu z Apache2 bo nie miałem włączonego AllowOverride All w pliku /etc/apache2/sites-aviable/dafault co ma do czynienia z konfiguracją serwera. Potem wszystko poszło bez problemu. Do generacji hasła radzę jednak użyć wewnętrznego narzędzia konsoli „$htpasswd -b PLIK UŻYTKOWNIK HASŁO” niż korzystać ze stronek internetowych. Szczęść Boże.
elegancko dziala – polecam