Как закрыть доступ к сайту паролем
👁6 686 просм.
При разработке нового сайта, а так же при его использовании бывают различные ситуации, когда нужно закрыть доступ к сайту паролем. Это может быть обусловлено необходимостью запретить индексирование контента нового ресурса поисковыми системами в период разработки. Или может появиться необходимость закрыть доступ неавторизированных пользователей к определенным разделам, документам сайта.
С подобными задачами отлично справляются штатные функции встроенной защиты WEB-сервера Apache. И для того, чтоб ими воспользоваться не нужно углубленных знаний языков программирования. Достаточно выполнить следующую последовательность действий: создать файл с паролями, назвав его .htpasswd, переписать его на сервер; и создать файл .htaccess, с указаниями по защите, и записать его в директорию на сервере, которую необходимо защитить паролем. Если необходимо защитить паролем полностью весь сайт, то информация файла .htaccess должна находиться в корневой директории.
Как создать файл паролей .htpasswd
.htpasswd, — это обычный текстовой файл, он должен иметь следующую структуру:
user_1:password_1
user_2:password_2
и т.д.
Чтоб создать этот файл откройте приложение «Блокнот» на компьютере, либо другой текстовый редактор, и сохраните новый документ под именем .htpasswd, без расширения txt. При сохранении нового файла выберите кодировку UTF-8.
Далее, на первом этапе придумайте новый логин и сгенерируйте новый пароль, воспользовавшись страницей генератора паролей. Сохраните полученные данные.
Затем, на втором этапе сгенерируйте содержимое файла .htpasswd, воспользовавшись генератором содержимого для .htpasswd. В поле «Логин» укажите придуманный вами логин, в поле «Пароль», — сгенерированный ранее пароль. После чего, полученный результат сохраните в созданном ранее документе .htpasswd.
Обратите внимание, что никакого другого содержимого, кроме как из полученной формы, в файле .htpasswd быть не должно. Созданный на первом этапе логин и пароль нужно будет указывать в поле авторизации на сайте.
Теперь сохраните на сервере полученный файл .htpasswd. Для более надежной защиты лучше положить его в директорию не доступную через www. Это может быть любая созданная вами папка на одном уровне с директорией, в которой содержатся файлы вашего сайта. Теперь скопируйте путь к сохраненному файлу на хостинге.
Если не удается узнать абсолютный путь то скачайте этот скрипт, разархивируйте его и положите в корневую директорию сайта. После чего введите в поисковой строке браузера имя вашего домена с указанием названия скрипта «ups.php». Например, moysite.com/ups.php . В результате выполнения скрипта вы увидите примерно следующую информацию:
Document root: /home/XXXXX/YYYYY Полный путь к скрипту и его имя: /home/XXXX/YYYYY/ups.php Имя скрипта: /ups.php
Document root: /home/XXXXX/YYYYY Полный путь к скрипту и его имя: /home/XXXX/YYYYY/ups.php Имя скрипта: /ups.php |
Подставьте в путь, указанный в строке «Полный путь к скрипту и его имя» название созданной вами папки вместо YYYYY и .htpasswd, вместо ups.php. Таким образом вы получите абсолютный путь к сохраненному на хостинге файлу .htpasswd. Это нам понадобится для следующего шага.
Как создать файл защиты .htaccess
Теперь, когда файл с паролями создан, нам нужно создать файл .htaccess, который будет защищать доступ к директории, в которую мы его сохраним.
Если вы хотите защитить доступ полностью ко всему ресурсу, и в корневой директории сайта уже есть файл .htaccess, то вам достаточно добавить в конце этого файла следующую информацию:
AuthType Basic AuthName «Protected Area» AuthUserFile /home/XXXX/YYYYY/.htpasswd Require valid-user
AuthType Basic AuthName «Protected Area» AuthUserFile /home/XXXX/YYYYY/.htpasswd Require valid-user |
Где вместо /home/XXXX/YYYYY/.htpasswd указать ваш абсолютный путь к сохраненному на хостинге файлу .htpasswd, который мы узнали ранее.
Если же вы хотите защитить паролем определенную директорию, то необходимо создать новый чистый файл .htaccess, по аналогии с тем, как мы создавали файл .htpasswd. И внести в него только лишь информацию с правилами для защиты, которая показана в предыдущем абзаце. После чего его нужно сохранить, и записать в директорию, которую необходимо запаролить.
Теперь, если мы будем пытаться зайти в запароленную директорию, то увидим следующее окно авторизации, в котором нужно указать логин и пароль, полученный на первом этапе формирования файла .htpasswd
Как закрыть доступ к сайту паролем с исключениями
Кроме того, указав следующую информацию в файле .htaccess при необходимости можно:
- Открыть доступ только к определенному файлу
require valid-user Authname «Protected» Authtype Basic AuthUserFile «/home/XXXX/YYYYY/.htpasswd» <Files page.php> allow from all satisfy any </Files>
require valid-user Authname «Protected» Authtype Basic AuthUserFile «/home/XXXX/YYYYY/.htpasswd» <Files page.php> allow from all satisfy any </Files> |
- Открыть доступ только к файлам с определенным расширением
require valid-user Authname «Protected» Authtype Basic AuthUserFile «/home/XXXX/YYYYY/.htpasswd» <Files *.pdf> allow from all satisfy any </Files>
require valid-user Authname «Protected» Authtype Basic AuthUserFile «/home/XXXX/YYYYY/.htpasswd» <Files *.pdf> allow from all satisfy any </Files> |
- Открыть доступ к файлам с несколькими расширениями
require valid-user Authname «Protected» Authtype Basic AuthUserFile «/home/XXXX/YYYYY/.htpasswd» <FilesMatch «.(gif|bmp|tiff|swf)$»> allow from all satisfy any </FilesMatch>
require valid-user Authname «Protected» Authtype Basic AuthUserFile «/home/XXXX/YYYYY/.htpasswd» <FilesMatch «.(gif|bmp|tiff|swf)$»> allow from all satisfy any </FilesMatch> |
Если остались вопросы по теме, или что-то не получается внедрить, не стесняйтесь спрашивать в комментариях. 🙂
Как поставить пароль на сайт
Самый простой способ закрыть доступ к сайту паролем — воспользоваться встроенными средствами веб-сервера, на котором размещён сайт. Настройки сервера Apache таковы, что если в какой-либо папке сервера лежит файл с именем «.htaccess», то при запросе любого документа из этой папки (например, веб-страницы), Apache будет следовать правилам, содержащимся в файле .htaccess. В этот файл можно поместить и директивы ограничения доступа ко всем или только некоторым документам в этой папке. Этим механизмом мы и воспользуемся.Шаг 1: Создаём файл .htaccessСоздать пустой файл с именем .htaccess проще всего в обычном текстовом редакторе — Блокноте. Чтобы при сохранении файла блокнот не добавлял автоматически расширение txt, в выпадающем списке «тип файла» диалога сохранения надо выбрать пункт «Все файлы».Директивы, которые нужно записать в .htaccess могут выглядеть так:AuthType BasicAuthName «Запретная зона!»
AuthUserFile /usr/host/mysite/.htpasswd
require valid-userПервая строка (AuthType Basic) сообщает серверу, что авторизация посетителей необходима.Вторая (AuthName «Запретная зона!») указывает текст нужно вывести на форме ввода логина и пароля.Третья (AuthUserFile /usr/host/mysite/.htpasswd) показывает путь к файлу, в котором хранятся разрешённые логины и пароли. Здесь обязательно указывается «абсолютный путь», то есть от самого корневого каталога сервера с указанием всего дерева каталогов. Это тот самый полный путь, который мы видим в адресной строке Проводника Windows, когда открываем какую либо папку. На серверах размещения сайтов он обычно имеет вид /pub/home/имя_аккаунта/…./имя_файла. Путь от корня сервера к вашему сайту можно узнать в панели администрирования сайта или спросив у техподдержки вашего хостинга. Можно выяснить и самостоятельно, но это потребует использования какого-либо языка программирования — например, в PHP его можно получить из результатов выполнения команды phpinfo().Четвёртая строка (require valid-user) означает, что ничего, кроме ввода правильных логина и пароля для доступа к документам в этой директории не требуется. А вообще-то можно разбивать посетителей на группы, и давать разным группам различные права доступа к разным папкам.
Пароли для доступа в систему
Пароли от аккаунта, панели управления сайтом, FTP, PHP
После того как вы создадите свой первый сайт, для работы вам понадобится несколько паролей:
Для изменения большинства паролей требуется знать секретный вопрос и ответ на него. Для изменения FTP- и PHP-паролей не нужно знать текущий пароль, поэтому для них можно ставить одноразовый максимально сложный пароль.
Общие рекомендации по созданию и использованию паролей
- Пароль должен быть сложным. Минимальная длина — 8 символов, обязательно использование букв в разных регистрах и цифр. Длина от 6 до 32 символов для пароля от панели управления сайтом и пароля администратора. Для паролей uID-профиля, FTP и PHP максимальная длина — 15 символов.
- Никому не сообщайте пароль.
- Не используйте одинаковые пароли. Все перечисленные в данной инструкции пароли должны различаться.
- Не запоминайте пароли в браузерах и ftp-клиентах.
- Периодически меняйте пароли (раз в месяц).
- Для хранения паролей используйте специальные менеджеры. Не рассчитывайте на собственную память. Если пароль легко запомнить, то, вероятно, его легко и подобрать.
Замена паролей
Пароль от uID-аккаунта задается при создании сайта, регистрации на uid.me или сайтах с поддержкой uID-авторизации. Он используется для входа на сайт http://uid.me/, а также на любые другие сайты с поддержкой uID-авторизации.
Пароль администратора используется для:
- восстановления доступа к uID-аккаунту
- изменения настроек безопасности
- входа в панели управления ваших сайтов
Заменить пароль uID-аккаунта и администратора можно после входа на сайте http://uid.me/ — «Настройки» / «Безопасность»:
Если пароль от uID-аккаунта утерян, воспользуйтесь формой восстановления:
Важно! До тех пор, пока не восстановлен доступ к uID-аккаунту, изменить пароль администратора нельзя.
Пароль от панели управления сайтом по умолчанию совпадает с паролем администратора. Но это может быть изменено в настройках сайта. Таким образом, у каждого вашего сайта может быть свой уникальный пароль.
Восстановить пароль от панели управления можно с помощью формы восстановления пароля администратора. Пароль будет выслан на email uID-аккаунта.
Чтобы восстановить пароль только для определенного сайта, перейдите по ссылке http://адрес_сайта/admin/456 После этого потребуется указать ответ на секретный вопрос, и пароль будет отправлен на email, указанный в настройках сайта. Email должен быть подтвержден.
Пароль к FTP
FTP-пароль
Чтобы задать или изменить FTP-пароль, перейдите в настройки сайта после как зададите пароли, в блоке «Детали для подключения», используйте (FTP Host, FTP Login и FTP Password для создания подключения в FTP клиентах подобно Filezilla).
Пароль к серверу PHP
Доступ к PHP-серверу предоставляется владельцам сайтов после оплаты пакета «Оптимальный», «Магазин» или «Максимальный».
После подключения возможности использования PHP-скриптов у Вас в панели управления, в разделе «Безопасность», появится новый пункт: «Замена пароля РНР». Перейдя по этой ссылке, запишите данные (PHP Host и PHP Login) и установите пароль (PHP Password) для подключения к FTP-аккаунту для загрузки PHP-скриптов:
В том случае если у вас не был установлен PHP пароль, вы его можете легко установить на странице ваш-сайт/panel/security/php_password который в дальнейшем сможете использовать для подключения к PHP серверу для загрузки своих php скриптов.
Пароли от аккаунта, панели управления сайтом, FTP, PHP
Один безопасный пароль на все случаи жизни / Habr
Спорить не буду, заголовок провокационный. Но и продолжение не лучше…Доброе утро! Я законченный параноик. Поэтому я люблю сложные пароли. Но хранить их в голове очень хлопотно… Вы же еще помните, что я параноик? И поэтому не пользуюсь менеджерами паролей, кроме тех, что могу поставить на свои сервера и могу контролировать трафик. Но я все-равно физически не смогу проверить на закладки. Не хватит ни времени, ни опыта. Поэтому я боюсь пользоваться чужими менеджерами паролей.
Давайте представим, что один безопасный пароль на все ресурсы возможен. Традиционно, всех кто заинтересовался темой прошу под кат.
Однажды мне пришла идея — я могу хранить парольную фразу в голове! Она будет одна на все случаи жизни. Но благодаря односторонним функциям я могу хранить модификаторы к ней в виде открытого и доступного всем текста. Вот в таком виде:
| ресурс | логин | модификатор |
Например:
habrahabr.ru | acyp | Walhall |
И вести такой список просто в блокноте. Когда понадобилось зайти на ресурс, то простым Ctrl-F нахожу ресурс и вбиваю необходимые данные в форму.
В поле парольной фразы — ту самую СуперСекретнуюФразу, в поле модификатор — по определенным правилам сформированный из открытых данных модификатор. В целом конечно можно сильно не извращаться и забить просто модификатор, результат от этого не пострадает.
Результат ввода ССФ и модификатора из примера (скриншот)Красным подчеркнут результат работы односторонней функции, причем последние два значения заменены на +F. Это с одной стороны добавляет сложности восстановлению, с другой позволяет зайти на ресурсах где необходимы спец.символы и заглавные буквы.
Из опыта: даже если все символы на влезают в поле ввода пароля на ресурсе, в любом случае при одинаковых действиях со стороны пользователя результат будет одинаковым, т.е. авторизация будет пройдена.
В целом предлагаемый мной подход позволит с одной стороны иметь один пароль на всех ресурсах, с другой — не опасаться компрометации пароля на одном из них, т.к «похищенное знание» не приведет к открытию других ресурсов.
Нижние группы цифр сделал скорее для себя, т.к. так мне удобнее читать их с телефона.
На написание ушло около 2-х часов, что показывает низкий уровень сложности кода. Т.е. большинство жителей хабра при желании напишут такое для себя значительно быстрее. При этом пароли нигде не сохраняются и желающие могут пользоваться готовой формой. Ну или, если совсем интересно что это из себя представляет — опубликую код (говорю сразу он «некузявый», основное все-таки идея).
Ну и на сладкое — весь обмен в момент генерации пароля.
Логи nginxи краткая инструкция по использованию:Инструкция для тех, кому лень писать свое1. Заводите себе журнал или файл, который может храниться открыто к которому у Вас есть постоянный доступ. И ведете в нем всю открытую информацию. Т.е. даже если на ресурсе Вас заставляют поменять пароль (или возникла такая необходимость), просто меняете модификатор
2. Регистрируетесь на ресурсе, генерируя пароль по ссылке на форму passer’a. При этом заносите все необходимые данные (из поля модификатор) в журнал.
3. При необходимости войти на этот ресурс — берете данные из журнала и так же с помощью passer’a восстанавливаете пароль. Фича: В местах, где я не уверен, я делаю это с телефона, перенося пароль в форму ввода. Потом, находясь в доверенном месте, в журнале меняю модификатор и меняю пароль.
Сказать совсем честно — я поступаю проще: Парольная фраза в голове, в модификаторе ресурс на который я хочу получить доступ. А поскольку я менял пароли на малом числе ресурсов и все их помню, то просто к модификатору на таких ресурсах добавляю vN (N — номер смены пароля). И не веду даже журнала.
Спасибо за внимание. Особое спасибо за комментарии (заранее, надеюсь, что они будут).
UPD: По итогам первого чтения комментариев хотелось бы заострить внимание на нескольких моментах:
- Я не прошу пользоваться моим приложением. Более того, я скорее настаиваю на том, что при наличии собственного полностью подконтрольного ресурса (а это важно) написать самостоятельно приложение, которое будет генерировать хэш-пароль по определенным правилам. Я только описал методологию.
- В комментарии imageman’а прозвучало приложение на .js (chriszarate.github.io/supergenpass), знай я о существовании которого, то и статьи скорее всего не было бы. Предложенный мной метод совершенно полно им иллюстрируется. Пользоваться им вряд ли в настоящее время буду, т.к. код не понимаю пока. Но если найду время на изучение и анализ, то с удовольствием им воспользуюсь. С функциональной точки зрения мне оно больше понравилось, чем собственное.
UPD2:
Обозначу явным образом плюсы и минусы некоторых подходов к работе с паролями:
Локальный МенеджерПаролей: Плюсы — криптостойкость, минус: возможная утеря устройства.
Облачный МенеджерПаролей (на чужом сервере): Плюсы — криптостойкость, доступность. Минусы: взлом ресурса, злой умысел, сдача контролирующим органам без вашего ведома.
Свой РесурсПоГенерацииПаролей: плюсы — контроль, возможность развернуть хоть на утюге (в моем случае), стойкость за счет отсутствия сохраненных паролей. Минусы (в моем случае): генерация пароля на сервере. Причем это скорее полу-минус, ибо сервер и система полностью мои.