Железная защита форума при помощи .htaccess & .htpasswd

RuBo · Сообщение **RuBo** » 19.04.2007 15:48

Чего-то не выходит. Положил в папку admin файл .htaccess с кодом:

AuthUserFile /.htpasswd
AuthName "Access to the panel of administration"
AuthType Basic

<Limit GET POST>
require valid-user
</Limit>

Положил в корневую директорию файл .htpasswd сгенеренный вышеупомянутой прогой.

При попытке зайти в админский раздел форума появляется окошко эксплорера с требованием ввести логин и пароль. Ввожу безрезультатно, а после трех попыток:

Authorization Required
This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.
--------------------------------------------------------------------------------
Apache/1.3.33 Server at www.forum.mbq.ru Port 9410

Пробовал класть файл и в директорию сайта.

VVVas · Сообщение **VVVas** » 19.04.2007 16:23

RuBo писал(а):AuthUserFile /.htpasswd

Путь нужно указывать от корня сервера, а не от корня той папки выше которой вас не пускает или выше которой вы ничего не видите. Проконсультируйтесь у хостера какой у вас абсолютный путь к вашей директории на хостинге.

RuBo · Сообщение **RuBo** » 19.04.2007 17:02

Проконсультируйтесь у хостера какой у вас абсолютный путь к вашей директории на хостинге.

Спасибо. Дело было действительно в неправильном пути. У хостера на сайте нашел FAQ с ответом.

incubus · Сообщение **incubus** » 27.04.2007 23:06

Получается, что если пароли будут лежать в одном файле, то и модератор также сможет пройти .htaccess админки?

Я сделал так: создал директорию forum/pass/.htpasswd (с вложенным .htaccess для защиты файла) - это для /admin/

и директорию: forum/pass/pass/.htpasswd (также с вложенным .htaccess) это для modcp.php и теперь у каждого свой доступ. Работает правильно. Хотел спросить: правильно ли я сделал и безопасно ли это, что в папке с паролями еще одна папка с паролями?

Alexalexis · Сообщение **Alexalexis** » 28.04.2007 10:38

а в папке forum лежит сам форум? .htpasswd можно назвать и иначе (и таким образом положить два в один каталог). Но каталог этот лучше расположить выше уровнем, чем форум и вообще папка, видимая из интернета.

incubus · Сообщение **incubus** » 28.04.2007 16:10

Alexalexis писал(а):а в папке forum лежит сам форум?

Да.

Alexalexis писал(а):.htpasswd можно назвать и иначе (и таким образом положить два в один каталог)

Интересно. Тогда получается .htaccess нужно два создать - на оба файла или можно один на все? Как это лучше прописать?

Alexalexis писал(а):Но каталог этот лучше расположить выше уровнем, чем форум и вообще папка, видимая из интернета.

Спасибо, так и сделаю.

Я вот еще не совсем понял, как сделать чтобы шла переадресация на HTML страничку. Ткните пожалуйста в пост, где это говорится. Или я что-то не правильно понял?

Alexalexis · Сообщение **Alexalexis** » 29.04.2007 1:37

incubus писал(а):
Alexalexis писал(а):.htpasswd можно назвать и иначе (и таким образом положить два в один каталог)
Интересно. Тогда получается .htaccess нужно два создать - на оба файла или можно один на все? Как это лучше прописать?

Один на каталог. А в каталоге он может защищать все файлы (как например /admin) или несколько, или один.

incubus писал(а):Я вот еще не совсем понял, как сделать чтобы шла переадресация на HTML страничку. Ткните пожалуйста в пост, где это говорится. Или я что-то не правильно понял?

Это вообще о чём? Откуда переадресация? И на какую страничку?

Romy · Сообщение **Romy** » 29.04.2007 2:59

incubus писал(а):Я вот еще не совсем понял, как сделать чтобы шла переадресация на HTML страничку. Ткните пожалуйста в пост, где это говорится. Или я что-то не правильно понял?

.htaccess:

Код: Выделить всё

ErrorDocument 401 http://site.ru
ErrorDocument 403 http://site.ru
ErrorDocument 404 http://site.ru
ErrorDocument 500 http://site.ru

Типа это?..

incubus · Сообщение **incubus** » 29.04.2007 14:57

Alexalexis писал(а):Один на каталог. А в каталоге он может защищать все файлы (как например /admin) или несколько, или один.

Допустим у меня в директории /pass/ есть два файла с паролями: .htpasswd и .htpass как теперь должен выглядеть .htaccess ?

Код: Выделить всё

<Files .htpasswd .htpass> 
deny from all 
</Files>

Вот так? И он должен лежать в /pass/ ?

Или он должен лежать на уроветь выше папки с паролями и иметь такой вид:

Код: Выделить всё

<Files pass> 
deny from all 
</Files>

Наверное я написал какую-то лабуду, просто хочу разобраться, ведь это касается безопасности.

Romy писал(а):Типа это?..

Да. Но где это нужно прописать? А возможно ли как-то сделать, чтобы обращение шло на свою созданную HTML страничку?

svk · Сообщение **svk** » 29.04.2007 15:10

апач по дефолту не даст просмотреть содержимое всех файлов .ht*

incubus · Сообщение **incubus** » 01.05.2007 2:37

svk писал(а):апач по дефолту не даст просмотреть содержимое всех файлов .ht*

Т.е. .htaccess такого вида:

Код: Выделить всё

<Files .htp*> 
 deny from all 
</Files>

лежащий в директории с двумя файлами .htpasswd и .htpass защитит эти файлы?

incubus писал(а):Да. Но где это нужно прописать? А возможно ли как-то сделать, чтобы обращение шло на свою созданную HTML страничку?

С этим пока никто не может подсказать? Ок, подожду.

Alexalexis · Сообщение **Alexalexis** » 01.05.2007 11:10

incubus писал(а):
incubus писал(а):Да. Но где это нужно прописать? А возможно ли как-то сделать, чтобы обращение шло на свою созданную HTML страничку?
С этим пока никто не может подсказать? Ок, подожду.

Назовите её 401.shtml
Поместите туда всё, что Вы хотите.
Можете заодно сделать 401.shtml и 404.shtml
Или нормально объясните в каком случае и на какую страничку Вы хотите чтоб перебрасывало.

incubus · Сообщение **incubus** » 01.05.2007 14:37

Alexalexis писал(а):Назовите её 401.shtml

Поместите туда всё, что Вы хотите.

Можете заодно сделать 401.shtml и 404.shtml

Я немного не понимаю, как это реализовать.

Или вот это, как было написано выше:

Код: Выделить всё

ErrorDocument 401 http://site.ru 
ErrorDocument 403 http://site.ru 
ErrorDocument 404 http://site.ru 
ErrorDocument 500 http://site.ru

Alexalexis писал(а):Или нормально объясните в каком случае и на какую страничку Вы хотите чтоб перебрасывало.

Я сам запутался, пытаюсь разобраться. Я думал, можно как-то сделать, чтобы при обращении по адресу, где лежит .htaccess, выскакивала страничка с какой-нибудь надписью типа "Такого адреса не существует" или "Ведутся логи" ну или что-нибудь предупреждающее..

Alexalexis · Сообщение **Alexalexis** » 01.05.2007 20:31

А выскакивает что?

incubus · Сообщение **incubus** » 01.05.2007 22:48

Alexalexis писал(а):А выскакивает что?

Форма для логина и пароля.

В общем намудрил я, что сам уже не пойму... Все и так работает.

Для полной убедительности, так будет правильно, как я описал?

incubus писал(а): Т.е. .htaccess такого вида:
Код: Выделить всё
<Files .htp*> 
 deny from all 
</Files>
лежащий в директории с двумя файлами .htpasswd и .htpass защитит эти файлы?