Hoe beveilig ik een web directory met username en password (htaccess)

Inleiding

Met een .htaccess bestand kunt u allerlei dingen bereiken zoals: het maken van foutpagina's voor je site, een directory afsluiten, IP-adressen blokkeren en nog veel meer. Deze handleiding zal u het een en het andere uitleggen over hoe je met .htaccess een web directory beschermt tegen ongewenste bezoekers.

Stappen

  • Controleer bij uw host of Apache wordt gedraaid en of htaccess ondersteund wordt voor de gebruiker.
  • Als dat niet het geval is en u wilt htaccess kunnen gebruiken, zoek dan op een host met htaccess ondersteuningHostzoeker
  • Controleer of u telnet of SSH toegang heeft tot u webserver (test door in windows/uitvoer : telnet www.jedomeinnaam.nl)
  • Het kan zijn dat het gebruik van Telnet niet is toegestaan door je webhost, maar dat je wel via Secure Shell (SSH) de server mag benaderen. In dat geval moet je een geschikte client downloaden als putty Putty
  • Bepaal welke directory u wilt beschermen

Voor een beschermde directory

  • Maak een textbestand aan met de volgende code (alles tussen haakjes is ter informatie en moet weggelaten worden !):
    • AuthUserFile /usr/www/beveiligd/.htpasswd (dit is het pad naar de directory die u wilt beveiligen)
    • AuthGroupFile /dev/null
    • AuthName "Geheime Pagina" (dit is de titel van het menu venster dat opspringt)
    • AuthType Basic
    • require valid-user
  • Upload dit bestand naar de ftp in de rootdirectory (hoogste directory van uw domeinnaam)
  • Hernoem dit bestand naar .htaccess (let op de extensie, geen txt!) dus test.txt wordt .htaccess zonder iets voor de punt
  • We gaan nu bezig met het .htpasswd. Gebruik uw telnet of PUTTY.
  • Ga naar uw directory die u wilt beveiligen met het commando cd beveiligdedirectorynaam)
  • Maak het htpasswrd bestand aan: htpasswd -c .htpasswd gewenstegebruikersnaam
  • Voer het gewenste wachtwoord in waarom de server vraagt (2x !!)
  • Voor nieuwe gebruikers doet u vervolgens dit commando: htpasswd .htpasswd nieuwe_gebruikersnaam

Risico's en Tips

  • htaccess is een erg belangrijke en erg gevoelig bestand. Wanneer u fouten maakt kan het voorkomen dat uw site niet meer werkt. In dat geval moet u een leeg htaccess bestand opnieuw uploaden naar uw FTP. Als het goed is werkt alles dan weer (let op dat uw geen textbestand upload)
  • wanneer u htaccess wilt verwijderen voert u deze commando uit: telnet/SSH rm .htaccess
  • Let op: Zorg er voor dat de rechten voor het bestand op 644 (rw-r--r--) worden gezet. Hierdoor kan de server het bestand benaderen, maar voorkomt dat bezoekers er in kunnen rondsnuffelen (beveiligingsrisico!)
  • De volgende fout codes kent Appache:
    • 302 - Redirect
    • 400 - Bad Request
    • 401 - Authorization Required
    • 402 - Payment Required
    • 403 - Forbidden
    • 404 - File Not Found
    • 405 - Method Not Allowed
    • 406 - Not Acceptable
    • 407 - Proxy Authentication Required
    • 408 - Request Time-out
    • 409 - Conflict
    • 410 - Gone
    • 411 - Length Required
    • 412 - Precondition Failed
    • 413 - Request Entity Too Large
    • 414 - Request-URI Too Large
    • 415 - Unsupported Media Type
    • 500 - Internal Server Error
    • 501 - Method Not Implemented
    • 502 - Bad Gateway
    • 503 - Service Temporarily Unavailable
    • 504 - Gateway Time-out
    • 505 - HTTP Version Not Supported

Handige Links