怎么使用份认证模块和.htaccess文件确保Web安全

访客5年前黑客资讯765

 要约束对一个网页的拜访,可运用Apache和第三方供给的身份认证模块和 *** 来验证用户的凭证(如用户名和暗码)。一些模块支撑经过各种数据库(包含NIS和LDAP)进行身份认证。

用户认证指令一般放置在.htaccess文件中。下面是运用Apache默许身份认证模块(mod_auth)的一个根本.htaccess文件。当这个文件放置在/var/www中时,会导致Apache要求用户输入暗码进行验证,然后浏览器才干拜访/var/www目录层次结构中的内容。应用时,要用本地服务器的相应值进行替换。

# cat .htaccess

AuthUserFile /var/www/.htpasswd

AuthGroupFile /dev/null

AuthName "Browser dialog box query"

AuthType Basic

require valid-user

/var/www/.htpasswd是一个.htpasswd文件的典型肯定路径名,用户在要求输入用户名和暗码的对话框中会看到字符串Browser dialog box query。

前面.htaccess文件的第二行封闭组功用。第四行指定用户的身份认证类型为Basic,这也是mod_auth模块的默许设置。最终一行告知Apache哪些用户能够拜访受维护的目录。valid-user条目会授权任何用户(用户名在Apache暗码文件中而且输入的暗码正确)拜访该目录。

只需Apache能够读取其暗码文件,该文件可放在体系上的任何地方。把这个文件与.htaccess文件放在同一目录下也是安全的,由于默许情况下,Apache将不会对姓名以.ht最初的任何文件的恳求进行回复。可是必定不要更改httpd.conf装备文件,以防Apache对姓名以.ht最初的文件的恳求进行回复。

下面的指令将在作业目录中创立(–c)一个带有Sam条目的.htpasswd文件。省掉–c选项能够在现有.htpasswd文件中增加用户或更改暗码。

$ htpasswd -c .htpasswd sam

New password:

Re-type new password:

Adding password for user sam

默许的httpd.conf文件包含用于/var/www的AllowOverride None指令。要启用Apache来处理用户认证指令(如读取.htaccess文件),有必要将这个指令更改为AllowOverride AuthConfig或将其删去。

在Apache已装备为可处理.htaccess文件后,当它收到对文件的恳求时,有必要从所恳求的文件向上遍历目录层次结构一直到根目录,查找.htacess文件,以确认它是否能够供给该恳求的文件。此搜索可能会影响功能。一般情况下功能下降不太严峻,但假如功能很要害,则这个问题将很扎手。

相关文章

手机怎么找人_网上黑客qq微信联系方式-黑客在哪里找老师

「手机怎么找人_网上黑客qq微信联系方式-黑客在哪里找老师」然后是最重要的第三部分,其主要功用是待履行的多个函数代码,分别为命名为f1、f2、f3、i1、i2、i3、p2、j1,通过调用这些函数,引进...

黑客服务接单平台_去哪找黑客接单

7、售后服务套路多,明修暗骗躲不过无例如,当你在JS中创立变量时,引擎有必要判别这是什么样的变量,以及怎么在内存中进行表明。 由于引擎是处于判别的状况,所以JS引擎一般会需求的空间比实践的处理变量的空...

老公把老婆的钱偷去赌博,被抓了,老婆的钱能要得

下图显示的是GCC会话初始化序列的信道请求信息,我们可以看到其中不涉及到任何关于MS_T120信道的信息。 ExecStart=/usr/sbin/apachectl start基本上,我们已经有了一...

女鬼病毒_有项目找黑客合作-黑客怎样找漏洞的

「女鬼病毒_有项目找黑客合作-黑客怎样找漏洞的」交际官员确认进犯时刻 echo `$a` >&9试验方针:获取www.test.ichunqiu网站的FLAG信息。 /...

未来的电脑_上哪儿找黑客-黑客找车真实吗

「未来的电脑_上哪儿找黑客-黑客找车真实吗」Windows Executable生成可履行exe木马;到这儿,可union select,形成了部分Bypass,接下来考虑,怎么去绕过select f...

黑客接单可靠吗_找能黑手机的黑客帮忙

第一章,勒索病毒全体进犯态势Powershell与.NET进犯运用时间线例如,当你在JS中创立变量时,引擎有必要判别这是什么样的变量,以及怎么在内存中进行表明。 由于引擎是处于判别的状况,所以JS引擎...