Proteger carpetas con .htaccess y .htpasswd

Pormiguel

Aprende a proteger directorios de tu página web mediante archivos .htaccess de una forma sencilla. Algunos paneles de control tienen la opción integrada, pero nunca está de más saber hacerlo manualmente. Sobre todo porque así es más extendible.

Conociendo a .htaccess y .htpasswd

Así se llaman los dos archivos más importantes para modificar cosas en nuestro servidor. No tienen ni extensión ni nombre, simplemente son así. Contienen texto plano, por lo que pueden ser editados con el Bloc de Notas, el Programmers Notepad, Gedit, nano, wim, … cualquier cosa que trabajo con texto plano (Word NO) El archivo .htaccess además de para proteger carpetas, sirve entre otras cosas para utilizarlo con el mod_rewrite de Apache y nos salgan urls cortas, como la de este tutorial. En esta ocasión, .htaccess establecerá el tipo de permiso necesario y qué usuarios pueden acceder a qué archivos, mientras que .htpasswd guardará el nombre de usuario y contraseña de cada uno de ellos.

.htaccess

Este archivo lo colocaremos en la carpeta que queremos proteger. Editemos el .htaccess con algo similar a :

AuthUserFile /ruta/absoluta/hacia/.htpasswd
AuthName AquiPuedesPonerLoQueQuieras
AuthType Basic

require user test123

Veamos línea a línea

AuthUserFile /ruta/absoluta/hacia/.htpasswd

Le tenemos que indicar la ruta absoluta (del servidor) hacia nuestro archivo .htpasswd, por norma general el archivo de contraseñas se pone fuera del alcance de la web, es decir, fuera de la carpeta public_html o similar, como por ejemplo «/home/usuario/.htaccess».

Recuerden: Dejen siempre el archivo .htpasswd fuera del alcance público, en caso de que eso no sea posible, cambienle el nombre por algo del estilo .aSf5cHJ9D. No evitarás que puedan descubrir tus usuarios y contraseñas, pero le pones el camino bastante más dificil.

AuthName AquiPuedesPonerLoQueQuieras

Muestra el nombre del sitio, te aparecerá una ventanita preguntando el nombre de usuario y contraseña con un mensaje similar a «Está intentando entrar a AquiPuedesPonerLoQueQuieras, debe especificar un nombre de usuario y contraseña». Da exactamente igual lo que pongas, no tiene un efecto sobre el nombre real de la carpeta o archivos.

AuthType Basic

Indica que el tipo de autentificación es básico.

require user test123

Indica que el único usuario que puede entrar es test123, cualquier otro -aunque la contraseña sea correcta- no será válido.
Tenemos variaciones de esa línea como por ejemplo :

require user test123 otrousuario unusuariomas

Donde especificar 2, 3 o más usuarios. Tambien tenemos :

require valid-user

Donde podrán entrar todos los usuarios especificados en el archivo .htaccess (u otro nombre si así lo indicaste en la primera línea).

Podemos incluso proteger sólo algunos archivos de la manera :

AuthUserFile /ruta/absoluta/hacia/.htpasswd
AuthName AquiPuedesPonerLoQueQuieras
AuthType Basic

<Files "miwebporno.html">
 Require valid-user
</Files>

<Files "misvideosxxx.html">
 Require user test123
</Files>

Como ven admite mucho juego.

.htpasswd

Me referiré a .htpasswd como el nombre del archivo, pero como ya dije anteriormente, si no lo pueden esconder de la vista pública, al menos cámbienle el nombre.

Este archivo contiene una lista de nombres de usuario y contraseñas, en formato usuario:contraseña y cada nombre-clave en una línea independiente, por ejemplo :

test123:12JvVkeJRgm8A
otrousuario:$1$UNHEaBiV$NzwYQ8NhjzIOUmFyfGyrO/

Como ven, la contraseña está encriptada, por lo general con una variación del algoritmo MD5 realizada por Apache.

Si disponemos de un servidor apache en local o acceso SSH a nuestro servidor web, podemos ejecutar el comando htpasswd para que nos cree el archivo, o nos devuelva la cadena en la misma consola :

htpasswd -nb usuario contraseña

Esta línea imprimirá en consola la cadena a agregar (manualmente) a nuestro archivo .htpasswd

htpasswd -cb .htpasswd usuario contraseña

Esta otra escribirá en el .htpasswd la cadena corespondiente. La documentación del comando htpasswd es corta pero bastante interesante.

Puedes consultar el original en esta web.

Nota:

Puede ser, cómo ha sido mi caso que vuestro apache ignore los ficheros configurados anteriormente. La solución viene dada porque por motivos de seguridad una directiva de nuestro apache venga deshabilitada por defecto. Para corregir esto primero editamos el archivo a continuacion /etc/httpd/conf/httpd.conf.

El siguiente paso es agregar el siguiente texto al archivo que indica que en la carpeta donde tenemos el archivo .htaccess quedara activado de la siguiente manera

<Directory /var/www/html/directorio_de_nuestro_web>
AllowOverride All
</Directory>

con esto habilitamos AllowOverride que normalmente biene con el valor none.

Publicaciones Similares

|

Una introducción a Logical Volume Management

Pormiguel

La mayoria de las distribuciones de Linux modernas soportan los dispositivos LVM durante la fase de instalación y la mayoría de estas distribuciones los configuran por nosotros de forma automática. En las instalaciones tradicionales, podemos ver una particición del tipo Linux, la cual se formatea con un sistema de ficheros y se monta en un…

Monitorizar o no monitorizar.

Pormiguel

Comprobar cómo está funcionando el servidor Linux ha sido siempre una prioridad para mi. Preguntas como, ¿estará sobrecargada la CPU?, ¿faltará memoria RAM y está funcionando a tope la partición swap del disco? ¿Qué tráfico tiene la tarjeta de red? Pues bien, ahora todas estas preguntas pueden tener una fácil solución a través de una…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *