是保护一个网站的目录与。就文件的安全吗?
-
22-08-2019 - |
题
我想知道,如果保护网络的目录。就文件(。htpasswd文件之外的公共apache安装)是一个安全的方式来保护一个目录(及其内容)。
可能有人解释该做的和不该做这样的保护?
解决方案
如果使用标准的HTTP协议的认证将被传递未受保护了网。这是不被视为安全的,因为有人可以嗅出密码。
如果您限制存取权限HTTPS是相当安全的。这意味着,以安装并启用对SSL加密的HTTP流量的Apache模块(端口433,https://开头的浏览器的ADRESS线)80端口上的用户名此目录,并禁用标准HTTP流量和密码将被SSL加密。一定要选择一个好的密码(长和足够复杂,无法猜测或暴力)。
Apache配置可以是棘手的,所以采取了很多护理保持它的简单和测试针对可能的错误。
它可以是从.htaccess文件移动访问限制配置Apache主配置文件,如果你有知识和控制权是一个好主意。也可能是您更轻松地保持它在.htacces文件。而“易”才能更安全。做到这一点,感觉简单,安全,易于维护和记住你的方式。
这是一个简单的设置来提高安全性和防止事故:
如果你有地方保护的目录,你可以写一个简单的脚本报警的机器上配置PHP和电子邮件。只是一个PHP文件“alarm.php”与向您发送一封电子邮件,告知您的htaccess保护不工作PHP的邮件功能一行。
如果您的域名和目录路径是“ http://mybox.example.com/secretdir /alarm.php ”你可以在不同的机器上在浏览器中输入这个,你应该得到的邮件,只要是htaccess的‘打开’。如果被保护,你可以输入用户名和密码,你也将获得邮件。
要拨打自动报警出这个你可以用它试图让这个网址,每15分钟左右不同的Unix机器。对于在crontab行:
* / 15 * * * * USER1的wget http://mybox.example.com/ secretdir / alarm.php
用户1是谁被允许运行的wget本机上的用户,并且必须安装的wget。
您可以禁用htaccess的保护作为测试和应该得到的邮件每隔15分钟。
从我的经验,这是一种常见的安全漏洞,当你改变一些东西,你认为是受保护的目录中失去其保护,你不知道,这样你会得到警告您的电子邮件。
其他提示
的.htaccess是非常标准的方式如何使被Apache HTTPD在您宗个案资源每目录配置更改用不上以主配置文件/没有root权限。
如果你有机会到主配置,它更容易把所有的配置(包括认证)放置在一个中心位置(即使它分割成多个文件),它不是那么容易忽略它。从我的经验,我可以告诉你忘记你的.htaccess
文件之前,这只是一个时间问题
官方文档多次使用的.htaccess
文件提到,应避免时可能。
如果使用.htaccess
的是你唯一的选择,请务必遵循一般的安全预防措施,如httpd主配置,即防止未授权用户读取它们,文件是由服务器读取,请确保你有目录列表禁用,始终确保密码被存储在加密/散列格式等
有关的详细信息,请,检查阿帕奇htaccess
教程
一个.htaccess文件是很方便,但...这不会保护你从别人利用你的代码,并阅读他想要的任何文件。如果您的网站(即使是一个小脚本)将被利用,也没有的.htaccess也没有其他的解决方案会保护你,因为黑客将获得执行脚本(通常是www数据)的用户的权限。
这是在尤其CGI不好受,但其他脚本被黑客攻击,以及