sikkerhed - Hvordan sikrer jeg alt på min webserver med kodeord og bruger? - Udvikleren.dk

Tags: sikkerhed webserver

Bruger #17035 @ 05.02.12 18:09

Hej,

Jeg skal til at lave en version 2, af et system, og i den forbindelse skal alle siderne, inkl. mappe osv. sikres med brugernavn og kodeord.

Er der en smart måde at gøre det på, hvor jeg ikke skal ind i hver enkelt fil og sætte sikkerhed på?

Tænkte på noget .htacces, via. søgninger på google mm., er det ikke lykkedes mig, at finde noget brugbart.

Håber en kan hjælpe.

7 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 8 karma

Sorter efter stemmer Sorter efter dato

Bruger #10216 @ 05.02.12 20:28

4.283

htaccess og htpasswd

http://www.netexplorer.dk/APACHE/apache-05.php

Og til at kryptere adgangskoden kan du bruge:
http://www.netexplorer.dk/TOOLS/htaccess.php

Ellers mener jeg at du kan bruge crypt i både php og linux cli.

Bruger #1151 @ 05.02.12 21:13

421

Hvad server platform snakker vi om?

Bruger #17035 @ 06.02.12 14:03

Det er Linux så vidt jeg ved. Det er PHP sider, og det ligger hos servage.net

Når jeg sætter mit .htaccess til:
Selvfølgelig med en rettet placering:

AuthName "hemmelige mappe"
AuthType Basic
AuthUserFile /placeringen
Require valid-user

og opsætter min .htpasswd med brugernavn:kodeord

Så får jeg fejlen, når jeg prøver at logge ind:

The requested page produced an internal error. If you are the webmaster of this website please check:
That script has been uploaded as ASCII (if CGI/Perl)
If the file and folder permissions are correct, e.g. 755
Your .htaccess file (if any).

Bruger #10216 @ 06.02.12 14:35

4.283

Du skal nok referere til der hvor din htpasswd fil ligger...

Evt. check servage.net wiki:
https://www.servage.net/wiki/Password_protection

Bruger #17015 @ 06.02.12 14:52

614

En bedre løsning ville efter min smag være, at lave en .htaccess fil der forhindrer adgang til directory listing i undermapper, og en deny from all allow from <Din-ip>. Så slipper du for at skulle taste password, og det er kun requests fra din IP som ikke får en 403 forbidden http fejl.

Alternativt kan du nøjes med at forhindre directory listing og lave blokaden på IP i PHP, ved at smide noget lignende i toppen af hver fil der modtager trafik.

PHP kode

 // Ved flere godkendte besøgende
 $allowed_IPs = array('1.2.3.4', '127.0.0.1');
 if (!in_array($_SERVER['REMOTE_ADDR'], $allowed_IPs)) { exit; }
 
 // Ved kun én godkendt besøgende
 if ($_SERVER['REMOTE_ADDR'] != 'din.ip.x.x') { exit; }

Bruger #17035 @ 06.02.12 15:05

Michael, det havde jeg også gjort, havde blot rettet det til, så mit link ikke blev vist herinde, mens siden ikke var sikret.

Men det virker nu, hvordan jeg gjorde, ved jeg ikke.

Gustav -> IP sikring er også en god løsning, bare ikke holdbar for mig, i og med at jeg kører med dynamisk IP adresse fra egen computer.

Bruger #17015 @ 06.02.12 15:13

614

@Morten, det gør jeg også, og du vil blive overrasket over hvor sjældent den skifter :-) Jeg har haft samme dynamiske IP fra TDC i flere måneder.

Hvis ikke du vil bruge IP løsningen, så er .htaccess og .htpasswd løsningen.

Typisk vil problemet med .htpasswd filer være, at du ikke har hashet koden korrekt. Brug evt: http://www.htaccesstools.com/htpasswd-generator/

Hvordan sikrer jeg alt på min webserver med kodeord og bruger?

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler