- January 2012
- November 2011
- October 2011
- September 2011
- August 2011
- July 2011
- June 2011
- May 2011
- April 2011
- March 2011
- February 2011
- January 2011
- December 2010
- November 2010
- October 2010
- September 2010
- August 2010
- July 2010
- June 2010
- May 2010
- April 2010
- March 2010
- February 2010
- January 2010
- December 2009
- November 2009
- October 2009
- September 2009
- August 2009
- July 2009
- June 2009
- May 2009
- April 2009
- March 2009
- February 2009
- January 2009
- December 2008
- November 2008
- October 2008
- September 2008
- August 2008
- July 2008
- June 2008
- May 2008
- April 2008
- March 2008
- February 2008
- January 2008
- December 2007
- November 2007
- October 2007
- July 2007
- Makendra It's always a pleasure to hear from someone with eexrpitse....
- Rubén Ortiz Hola dependerá de varias cosas pero la respuesta sería NO. ...
- jose miguel perea Buenos días, ¿La replicación entre maestro y esclavo es i...
- Rubén Ortiz Si lo hacéis legal, con VMware el único problema son los cos...
- Angel Hola, estamos valorando implementar baremetal para crear un ...
Proteger carpetas con .htaccess y .htpasswd
Una forma básica de ofrecer seguridad sobre directorios web en Linux es utilizando las posibilidades que nos ofrece la apache.
.htaccess
Hemos de crear primero, un archivo llamado “.htaccess” y editarlo con las siguientes directivas:
AuthUserFile: path absoluto hasta el fichero .htpasswd
AuthName: contendrá el nombre del prompt o ventana que el usuario leerá al acceder al directorio protegido
AuthType: el tipo de autenticación
require user: los usuarios que podrán acceder al directorio protegido
Un ejemplo de .htaccess sería
1 2 3 4 | AuthUserFile /path/absoluto/a/.htpasswd AuthName Acceso Restringido AuthType Basic require user prueba |
Recordad que este archivo se ha de guardar en la carpeta donde queremos implementar la seguridad. Incluso podríamos llegar a bloquear el acceso a archivos, añadiendo debajo de esas líneas lo siguiente:
1 2 3 | <\Files "index.html"> Require valid-user <\/Files> |
.htpasswd
Este otro fichero, contiene el nombre del usuario y a continuación su password pero, encriptado. Para genera el archivo necesitamos, o bien acceso a nuestro apache para crear el password desde consola o bien, existen muchas webs que nos crean el texto del archivo .htpasswd, al entrar el nombre y el password que queremos.
Si tenemos acceso a la consola lo generamos nosotros mismos:
1 2 | <strong>-bash-3.2# htpasswd -nb pepito pepote</strong> pepito:29.fNajst6GCU |
para añadirlo al .htpasswd directamente, lo podemos redireccionar con el cat
1 | <strong>-bash-3.2# htpasswd -nb pepito pepote >> .htpasswd</strong> |
Sino, podemos buscar sitios en internet y luego editamos el fichero.
Si apache no te pide la autorización al acceder a la ventana, asegúrate de que lo tienes bien configurado.
Links
http://www.apacheweek.com/features/userauth
http://www.cristalab.com/tutoriales/proteger-carpetas-con-.htaccess-y-.htpasswd-c213l/
http://www.elated.com/articles/password-protecting-your-pages-with-htaccess/
http://chernando.eu/doc/apache/
http://www.colordeu.es/BLOG/proteger-carpetas-web-con-htaccess-y-htpasswd
http://readthefuckingmanual.net/error/1385/
Ep nano, cóm va? Sóc el Jordi, l’ex Telematic.
Sempre havia sentit parlar de l’Apache, no de “la Apache”, però també em sembla sutgerent l’idea d’una india
Per altra banda, comentar que l’ús d’arxius .htaccess pot suposar un performance penalty al rendiment del servidor web, tot i que a vegades és l’única manera de mantenir la seguretat d’una zona per als usuaris d’un hosting compartit. Una petita lectura al respecte: http://httpd.apache.org/docs/2.0/howto/htaccess.html#when
Keep up the good work!
Hola Jordi
me alegro de oir de ti. “La Apache”, no me había dado cuenta. Pero si han perdonado a Johan no hablar bien español despues de casi 40 años a mi también me pueden pasar lo mio no? “Con calidaddddd…”
Cuando hablas de penalización del rendimiento, te refieres al uso de .htaccess como autentificación? o en general? Si es lo segundo, veo imposible evitar el uso de .htaccess. Lo primero, supongo que se usa en contadas ocasiones.
Saludos
Me refiero a usarlo en general. Si no estas bajo un hosting compartido o tú eres el amo y señor del mismo, puedes evitarlo con directivas de configuración de apache (globales o en base a vhost) directamente.