Lösenords skydda en katalog eller webbplats i apache

Vissa sidor vill man inte att alla ska kunna besöka, därför kommer vi nu att lösenordsskydda en katalog i apache2.

Den här metoden använder en fil på servern för att spara alla användare. Ska du ha många användare som du enkelt vill kunna administrera så vill du nog inte använda den här metoden utan istället titta på någon annan lösning som sparar användarna i en databas. Men för en snabb och enkel skyddnind av filer som bara några få användare behöver komma åt så fungerar metoden jättebra.

För att vi ska kunna skapa en lösenordsskyddad sida så måste vi först aktivera .htaccess för den aktuella katalogen. Katalogen kan antingen vara en underkatalog till en webbplats eller en hel webbplats, principen är densamma. Det som styr är var man placerar .htaccess filen.

Här kan du läsa om hur du aktiverar .htaccess för en webbplats.

Dags att skapa några användare som ska kunna logga in. För att kunna göra det så behöver vi ett program som heter htpasswd. Det programmet finns i paketet "apache2-utils" så om du inte har det installerat så är det dags nu.

sudo apt-get install apache2-utils

Därefter skapar vi filen och lägger till den första användaren.

sudo htpasswd -c /etc/apache2/htpasswd namn
New password: 
Re-type new password: 
Adding password for user namn

Ersätt namn med användarnamnet som du vill ha och som du ser så blir vi tillfrågade om ett lösenord till den nya användaren.

För att lägga till mer användare så skriver vi samma kommando igen fast utan -c, som används för att skapa htpasswd filen. 

sudo htpasswd  /etc/apache2/htpasswd namn2
New password: 
Re-type new password: 

Adding password for user namn

Därefter går vi till katalogen som ska skyddas. 

cd /var/www/webbplats/katalog

Här kommer jag att lösenordsskydda katalogen som heter "katalog" som finns på webbplatsen "webbplats". Om du istället vill lösenordsskydda hela webbplatsen så går du till katalogen för webbplatsen istället.

Väl där skapar vi en .htaccess fil. Som vanligt använder jag joe.

joe .htaccess

I .htaccess filen lägger vi till följande.

AuthType Basic
AuthName "Protected area"
AuthUserFile /etc/apache2/htpasswd
Require valid-user

AuthType Basic - Här anger vi vilken typ av autentisiering vi ska använda. 

AuthName "Protected area" - Anger vad det är som är lösenordsskyddat. Den texten står i rutan som besökaren får upp, samt att 

AutUserFile - Här hänvisar vi till vilken fil som lösenorden finns sparade i. Av säkerhetsskäl så ska den inte finnas i katalogen för webbplatsen. Om en användare lyckas ladda ner filen så kommer de åt alla lösenorden, de är förvisso krypterade men det finns ingen kryptering som aldrig går att knäcka.

Require valid-user - Vilka användare får logga in. I det här fallet räcke det med att man är en användare som loggar in. Man kan lägga upp olika förutsättningar, till exempelt att bara vissa användare får logga in. Det är även möjligt att skapa grupper och begränsa med hjälp av grupper.

Som vanligt så kan du läsa mer om alternativen i manualen till apache.

Spara och stäng filen när du är klar. 

Därefter pekar vi webbläsaren mot den skyddade sidan och om vi har gjort rätt så ska vi nu bli tillfrågade om ett lösenord.

Image