怎么使用份认证模块和.htaccess文件确保Web安全

访客6年前黑客资讯790

 要约束对一个网页的拜访,可运用Apache和第三方供给的身份认证模块和 *** 来验证用户的凭证(如用户名和暗码)。一些模块支撑经过各种数据库(包含NIS和LDAP)进行身份认证。

用户认证指令一般放置在.htaccess文件中。下面是运用Apache默许身份认证模块(mod_auth)的一个根本.htaccess文件。当这个文件放置在/var/www中时,会导致Apache要求用户输入暗码进行验证,然后浏览器才干拜访/var/www目录层次结构中的内容。应用时,要用本地服务器的相应值进行替换。

# cat .htaccess

AuthUserFile /var/www/.htpasswd

AuthGroupFile /dev/null

AuthName "Browser dialog box query"

AuthType Basic

require valid-user

/var/www/.htpasswd是一个.htpasswd文件的典型肯定路径名,用户在要求输入用户名和暗码的对话框中会看到字符串Browser dialog box query。

前面.htaccess文件的第二行封闭组功用。第四行指定用户的身份认证类型为Basic,这也是mod_auth模块的默许设置。最终一行告知Apache哪些用户能够拜访受维护的目录。valid-user条目会授权任何用户(用户名在Apache暗码文件中而且输入的暗码正确)拜访该目录。

只需Apache能够读取其暗码文件,该文件可放在体系上的任何地方。把这个文件与.htaccess文件放在同一目录下也是安全的,由于默许情况下,Apache将不会对姓名以.ht最初的任何文件的恳求进行回复。可是必定不要更改httpd.conf装备文件,以防Apache对姓名以.ht最初的文件的恳求进行回复。

下面的指令将在作业目录中创立(–c)一个带有Sam条目的.htpasswd文件。省掉–c选项能够在现有.htpasswd文件中增加用户或更改暗码。

$ htpasswd -c .htpasswd sam

New password:

Re-type new password:

Adding password for user sam

默许的httpd.conf文件包含用于/var/www的AllowOverride None指令。要启用Apache来处理用户认证指令(如读取.htaccess文件),有必要将这个指令更改为AllowOverride AuthConfig或将其删去。

在Apache已装备为可处理.htaccess文件后,当它收到对文件的恳求时,有必要从所恳求的文件向上遍历目录层次结构一直到根目录,查找.htacess文件,以确认它是否能够供给该恳求的文件。此搜索可能会影响功能。一般情况下功能下降不太严峻,但假如功能很要害,则这个问题将很扎手。

相关文章

赌博输钱怎么能赢回来

影响范围ExecStop=/usr/sbin/apachectl stop Windows XP SP3 x86赌博输钱怎么能赢回来, 编辑solrconfig.xml,将所有用固定值配置的DataI...

24小时接单的黑客真的假的,黑客600元找聊天记录,找黑客黑人

1、信息熵(Entropy):经过运用ASCII码表来衡量文件的不确定性;timestamp = int(time.time()) b)assert("echo 1")是不行履行的,由于assert不...

黑客接单签名_车牌识别破解

假如没看的话,我先带咱们温习一下昨日晚上都说了哪些作业有AFLSmart 的装置黑客接单签名,车牌识别破解 在Dridex 1.10出来后,Cridex版别便中止了运转,而Dridex1.100版别几...

便宜黑客接单平台_怎样找盗号的黑客

日志概况· 一群欺诈者建立了一个类似于Jaxx钱包的虚伪网站,意图是经过不合法行为盗取用户的数字钱银。 · 俄罗斯联邦核中心的科学家将核武器实验室用于模仿聚变反应的计算机用于加密钱银挖矿而被捕。 V5...

怎么样学习编程,找黑客查看老婆和别人的微信记录,在哪里能找黑客

灵机一动,咱们想到了和遥控器相似的做法:经过Arduino UNO R3单片机渠道来操作BK5811芯片,直接在Arduino上完成咱们的操控逻辑。 当然,再加一个某宝上淘的有源信号放大器,如下图所示...

王者荣耀好号和密码,有黑客找momo,找黑客修改成绩会被发现吗

$html.= ''; 'ADMIN_PASS' => '".$_POST['db_pass']' //创始人暗码cpe:/a:cisco:adaptive_security...