Ograniczanie dostępu do stron internetowych


Original: http://www.umich.edu/~umweb/how-to/htaccess.html

Ograniczanie dostępu do stron internetowych za pomocą. Htaccess

Domyślnie dokumenty wprowadzone dostępne w UM www.umich.edu serwery i www-personal.umich.edu są czytelne przez osoby z dostępem do sieci World Wide Web, co oznacza, że ​​wiele, wiele osób może wyświetlić strony. Są one również dostępne poprzez AFS, globalny system plików używany tutaj na Uniwersytecie Michigan.

W niektórych przypadkach, może chcesz ograniczyć dostęp do swoich stron. Opcje dostępne obecnie:

  • Możesz ograniczyć dostęp do użytkowników w pewnym obszarze Internetu. Na przykład można określić, że tylko użytkownicy, których domena nazwy kończą się umich.edu mogą uzyskać dostęp do swoich stron. Można także określić, że tylko użytkownicy w niektórych podsieciach IP mogą uzyskać dostęp do strony.
  • Trzeba mieć świadomość, że ograniczenie dostępu do Internetu w oparciu o domeny lub adresu IP nie jest kuloodporny, i nie należy polegać na danych wrażliwych.
  • Można ograniczyć dostęp w oparciu o nazwę użytkownika / hasło. Zauważ, że nazwa użytkownika i hasło są całkowicie oddzielone od UM w uniqname / kerberos bazie danych i musi być utrzymywana przez Ciebie. Nazwy użytkowników i hasła są wysyłane jako zwykły tekst (nie jest zaszyfrowany) w sieci, i dlatego są podatne na podsłuchem sieci.
  • Ta metoda nie jest bardzo bezpieczny, choć jest to udokumentowane tutaj. Nie nadaje się do danych wrażliwych. To powinno działać, jednak i htpasswd polecenia, które służy do zarządzania plikami haseł, jest dostępna na serwerach ITD logowania. (Aby uzyskać więcej informacji, spróbuj “Człowiek htpasswd ‘command).
  • Ten dokument zakłada, że ​​jesteś zaznajomiony z pojęciami World Wide Web, i że wiesz wystarczająco UNIX się zalogować do usługi ITD logowania i tworzyć, poruszać się, a listy katalogów. Jeśli nie wiesz jak to zrobić te rzeczy, prosimy zapoznać się z ITD dokumentacji online lub uczestniczyć DTZ Warsztaty na te tematy.

Wskazówki do ograniczania dostępu

  • Kontroli dostępu mogą być podane tylko na podstawie per-katalogu, więc trzeba najpierw utworzyć katalog do spodu Public / html katalogu w IFS trzymać dostępu kontrolowanych dokumentów. Kopiowanie dokumentów do tego katalogu.
  • Należy zresetować swój list AFS kontroli dostępu (ACL) do nowo utworzonego katalogu. Domyślnie wszystkie katalogi stworzone pod ~ / public / html dziedziczą ACL pozwalające każdy klient AFS do odczytu plików.

Aby wyzerować ACL, należy wydać następujące polecenie w katalogu konfigurowania:

  • fs sa. umweb: serwery odczytać systemu: żaden anyuser
  • Polecenie to sprawia, że ​​tak, że tylko “umweb: serwery” może odczytać pliki. Serwer WWW www.umich.edu uwierzytelnia jako użytkownik “umweb: serwery”, więc to może odczytywać pliki w katalogach, dopuszczonych w ten sposób. Zezwolenie katalogów internetowych w ten sposób uniemożliwia dostęp do stron z większości użytkowników, ale pozwala serwery, aby zapewnić kontrolę dostępu.
  • Każdy katalog chroniony w ten sposób powinien mieć plik index.html, który jest podany, gdy wniosek został złożony do listy plików w katalogu. Bez tego pliku, wniosek o katalogu będzie lista wszystkich plików w katalogu.
  • Utwórz plik o nazwie. Htaccess w katalogu (zwróć uwagę na wiodącą okresu). Ten plik jest konsultowany przez serwer sieci Web, aby określić, czy zezwolić na dostęp.

Uwaga: Ten plik nie może zostać utworzony za pomocą edytora (jak SimpleText) na komputerach Macintosh. Musisz utworzyć ten plik, podłączając do maszyny Unix i editting plik z vi, emacs lub pico. To ze względu na sposób, że tłumacze IFS czynienia z plikami, które zaczynają się od kropki.

Ograniczanie dostępu domenie

Poniżej znajduje się przykład, o htaccess, który pozwala każdemu na UM kampusu, czy kogokolwiek łączącego poprzez Michnet telefonowania linii dostępu do dokumentów w katalogu.:

AuthType Basic
zamówić deny, allow
deny from all
pozwala od. umich.edu
pozwala od. mich.net

W przypadku przykładu. Htaccess (powyżej), które ogranicza dostęp do umich.edu i mich.net adresów, tylko hosty, które mają prawidłową nazwę domeny zarejestrowane w systemie nazw domen (DNS) będzie dostęp. Jeśli chcesz również umożliwić dostęp do UM gospodarzy bez wpisu DNS, można zawierać następujące linie w pliku htaccess (w dodatku do istniejących linii w tym przykładzie).:

pozwalają z 141,211
pozwalają z 141,212
pozwalają z 141,213
pozwalają z 141,214
pozwalają z 141,215
pozwalają z 141,216

Te numery są numerami sieci odpowiednio dla UM Ann Arbor pierścień kampus centralny, UM pierścień Campus North, UM EECS dept, Medical Center, a Dearborn i Flint kampusy.

Te dodatkowe linie muszą być po dyrektywie zamówienia i przedtag.

Ograniczanie dostępu przez użytkownika / hasło

Ograniczanie dostępu w oparciu o nazwę użytkownika i hasło par działają w sposób bardzo podobny do IP uprawnień.

Oto przykładowy plik htaccess, które pozwala użytkownikowi “dynia”, aby uzyskać dostęp do dokumentów w katalogu ~ umweb / Public / html / how-to / htacccess.sample.:

AuthUserFile / afs / umich.edu / group / itd / umweb / Private / htpasswords

AuthGroupFile / dev / null
UMWebSample AuthName
AuthType Basic

wymagają dyni użytkownika

Pierwsza linia jest plik hasło używane do uwierzytelniania. Zauważ, że plik hasło powinno być w innym katalogu z pliku. Htaccess. To jest tak, że ktoś nie może patrzeć na pliku haseł i spróbować złamać hasła w nim. Prawdopodobnie byłoby najlepiej, aby nie mieć pliku haseł w katalogu Public / html w dowolnym miejscu, ale umieścić go w innym katalogu, że serwery mają dostęp.
Druga linia jest plik grupy. W tym przypadku, to jest ustawiona na pustym pliku, ponieważ nie jesteśmy ograniczenie dostępu przez grupy. W większości przypadków, plik ten nie będzie potrzebna, a jeśli jest, to zostanie utrzymane, z pliku z hasłami.
Trzecia linia zawiera nazwę Realm, których ochrona jest świadczona. Powinien być ustawiony na coś opisowej dla chronionych stron. Ta nazwa nie można używać spacji.
Czwarta linia określa podstawowe uwierzytelnianie httpd.
Między GET> linii, nie może być dowolna liczba wymagających liniach. Każdy z nich może wymagać użytkownika lub grupy użytkowników określonych w pliku grupy.

W następnej kolejności należy utworzyć plik haseł, w lokalizacji określonej w wartości AuthUserFile. Można to zrobić z htpasswd polecenia na serwerach login.itd.umich.edu:

htpasswd-c htpasswords dyni

“-C” na tej linii mówi htpasswd do utworzenia pliku, a polecenie należy uruchomić w katalogu określonym w pliku haseł.

Można dodawać użytkowników do pliku haseł za pomocą polecenia:

htpasswd htpasswords newuser

Uwaga: nie należy używać hasła Kerberos tutaj. To właśnie z powodu wrodzonego braku bezpieczeństwa tej metody uwierzytelniania, a także fakt, że każdy może “wąchać” hasła off sieci. Jeśli używasz hasła Kerberos, ktoś mógłby poważnie nadużywać konta komputerowe, pliki, mail, itp.

Sample ograniczenie dostępu

Oto przykład strony ograniczają się do dyni nazwę użytkownika, z tortu hasło.

Więcej dokumentów można znaleźć w Apache. Htaccess pliki dokumentacji.