تحمى دليل الموقع مع ملف هتكس آمنة؟
https://stackoverflow.com/questions/869072
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وأنا أتساءل عما اذا كان حماية دليل على الشبكة العالمية باستخدام ملف .htaccess (مع ملف .htpasswd خارج الجاسوس اباتشي العام) هو وسيلة آمنة لحماية دليل (ومحتوياته).
هل يمكن لشخص شرح ما يفعل وما يترك من هذا النوع من الحماية؟
المحلول
وسيتم تمرير المصادقة دون وقاية على الشبكة إذا كنت تستخدم بروتوكول HTTP القياسية. لا يعتبر هذا أنه آمن، كشخص يمكن شم كلمة المرور.
إذا تقييد الق إلى https أنها آمنة تماما. وهذا يعني تثبيت وتمكين وحدة اباتشي ل SSL حركة مرور HTTP مشفرة (منفذ 433 أو https: // في خط العنوان للمتصفح) وتعطيل حركة مرور HTTP القياسية لهذا الدليل على المنفذ 80. اسم المستخدم وكلمة ستكون خدمة تصميم المواقع مشفرة. تأكد من تحديد كلمة مرور جيدة (طويلة ومعقدة بما فيه الكفاية، لا يمكن أن يخمن أو القوة الغاشمة).
والتكوين أباتشي يمكن أن تكون خادعة، حتى تأخذ الكثير من الرعاية للحفاظ على أنها بسيطة واختبار ضد الأخطاء المحتملة.
ويمكن أن تكون فكرة جيدة لنقل التكوين تقييد الوصول من ملف .htaccess لملف التكوين اباتشي الرئيسي إذا كان لديك المعرفة والسيطرة عليها. ويمكن أيضا أن يكون من الأسهل بالنسبة لك أن يبقيه في الملف .htacces. و "سهلة" يمكن أن يكون أكثر أمنا. هل لأنها الطريقة التي يشعر بسيطة وآمنة وسهلة للحفاظ على وتذكر بالنسبة لك.
وهذا هو الإعداد بسيطة لتعزيز الأمن وحماية ضد الحوادث:
إذا كان لديك فب والبريد الإلكتروني تكوينها على الجهاز حيث الدليل المحمية يمكنك كتابة السيناريو إنذار بسيط. مجرد ملف فب "alarm.php" مع خط واحد مع وظيفة فب البريد الذي يرسل لك رسالة بالبريد الالكتروني، وأقول لك أن حماية هتكس لا يعمل.
إذا مسار نطاق والدليل هو " http://mybox.example.com/secretdir /alarm.php "يمكنك إدخال هذا في مستعرض على جهاز آخر، ويجب أن تحصل على هذا البريد الإلكتروني طالما هتكس هو" فتح ". إذا محمي أنه يمكنك إدخال اسم المستخدم وكلمة المرور، وسوف أيضا الحصول على البريد.
لجعل التنبيه الآلي للخروج من هذا هل يمكن استخدام مربع يونكس المختلفة التي تحاول الحصول على هذا الرابط كل 15 دقيقة أو نحو ذلك. خط لكرونتاب:
* / 15 * * * * USER1 مجلد مشترك http://mybox.example.com/ secretdir / alarm.php
وUSER1 هو مستخدم على هذا الجهاز الذي يسمح لتشغيل مجلد مشترك، ويجب أن يتم تثبيت مجلد مشترك.
ويمكنك تعطيل حماية هتكس كاختبار ويجب ان تحصل على البريد كل 15 دقيقة.
ومن تجربتي هو ثغرة أمنية مشتركة أن الدليل الذي كنت تعتقد محمي يفقد الحماية الخاصة به عند تغيير شيء وأنت لا تدرك، وبهذه الطريقة يمكنك الحصول على البريد الإلكتروني التي يحذرك.
نصائح أخرى
وبقدر ما أعرف، هتكس سهل الإختراق اذا كان اعتراضها (f.e. أنت تسجيل الدخول من مقهى الانترنت مع شبكة الشم تشغيل). بقدر ما أعرف و <لأ href = "HTTP: //www.webreference كوم / الانترنت / اباتشي / chap5 / 3 / 2.html "يختلط =" نوفولو noreferrer "> مصادقة تلخيصية يساعد على الحصول على تلك المشكلة.
وهتكس غير طريقة قياسية جدا كيفية إجراء تغييرات التكوين لكل دليل على الموارد التي يخدمها اباتشي HTTPD في الحالات التي على لا يستطيعون الوصول لملف التكوين الرئيسي / عدم وجود وصول الجذر.
إذا كان لديك الوصول إلى التكوين الأساسي، انه من الاسهل بكثير أن يكون كل التكوين (بما في ذلك التوثيق) وضعت في موقع مركزي واحد (حتى لو كان تقسيم إلى ملفات متعددة)، حيث أنه ليس من السهل جدا أن نغفل ذلك. من واقع خبرتي أستطيع أن أقول، انها مجرد مسألة وقت قبل أن ننسى الملفات .htaccess الخاص بك.
وثائق رسمية وبالذكر في عدة مناسبات أن استخدام ملفات .htaccess ينبغي تجنبها ممكنا عندما.
إذا استخدام .htaccess هو الخيار الوحيد الخاص بك، تأكد من اتباع الاحتياطات الأمنية العامة كما هو الحال مع التكوين HTTPD الرئيسي، أي منع المستخدمين غير المخولين من قراءتها، الملفات للقراءة من قبل الخادم، تأكد من أنك حصلت على سرد الدليل المعوقين، دائما التأكد من يتم تخزين كلمة المرور في مشفر شكل / تجزئته، وما إلى ذلك.
لمزيد من المعلومات، يرجى مراجعة أباتشي htaccess تعليمي
وملف هتكس مفيد جدا، ولكن ... هذا لن تحميك من شخص استغلال التعليمات البرمجية وقراءة أي ملف كان يريد. إذا كان سيتم استغلال موقعك (حتى برنامج نصي واحد صغير)، ولن هتكس ولا غيرها من حلول حمايتك، حيث أن القراصنة سوف تكسب حقوق المستخدم تنفيذ البرنامج النصي (عادة شبكة الاتصالات العالمية البيانات).
وهذا هو مؤلم وخاصة في CGI، ولكن يتم اختراق النصوص الأخرى كذلك.
