レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

.htaccessでユーザとパスワードを求める(Basic認証)

2011年3月10日 2015年5月16日
apache basic authority

apacheの .htaccess での制御について、

と、いろいろと書いてきました。

今回は、その続きで、.htaccess 設置ディレクトリ配下へのアクセス時、ユーザ、パスワードを求めるようにしてみましょう。

.htaccess 設置ディレクトリへのアクセスででユーザ、パスワードを求める

.htaccessで、ユーザ、パスワードを求めるには、.htaccessとは別にユーザ、パスワードを保存したファイル(以降、慣習的に、このファイル名を .htpasswd とします。)を作成する必要があります。

つまり、以下の2つの作業が必要になります。

  • .htaccess の編集、設置

    – ここでは、例として/var/www/html/.htaccessを編集するものとします。


  • .htpasswd の作成、設置

    – ここでは、例として/home/user/public_html/test/.htpasswdのファイルを利用するものとします。


ここでは、.htaccessを使って 全てのアクセスに対してユーザ、パスワードを求めるようにしてみます。

.htaccess の編集、設置

.htaccess の編集は、以下のような例をもとに簡単に解説してみます。

1
2
3
4
AuthUserFile "/home/user/public_html/test/.htpasswd"
AuthName "Local Security Test"
AuthType BASIC
Require valid-user
AuthUserFile
.htpasswdの設置パス名をフルパスで設定します。
この.htpasswdの設置場所は、.htaccessと同じである必要はありません。
ウェブからは、絶対のぞけないディレクトリへ設置すべきです。
AuthName
このセキュリティ設定の名前を任意に設定します。
文字列に空白を含む場合は、必ず、ダブルコーテーション()でくくりましょう。

一般的なウェブブラウザでは、ユーザパスワードを求める画面のタイトルに使われます。
以下は、Chromeでの表示イメージです。上記のAuthNameで設定しているLocal Security Testが表示されています。
パスワード画面
AuthType
以下の2つから、アクセスされた時の認証方式について指定します。
  • AuthType Basic
    最も、基本的でよく利用されている認証方式です。
    ※Basic 認証はクライアントからブラウザへ、 パスワードを暗号化せずに送ります。そのため、この方法は特に機密性の高いデータに対しては用いるべきでは ありません。
  • AuthType Digest
    この認証方式は、Basicと比較してより安全です。しかし、古いウェブブラウザでは、この認証方式に対応できていないことがあります。
ここでは、一般的なBasic認証を用います。
Require
以下の3つから、アクセスされた時の対応について指定します。
  • Require user userid [userid] …
    指定されたユーザのみ、ディレクトリへのアクセスを許可します。
  • Require group group-name [group-name] …
    指定されたグループに属するユーザのみ、ディレクトリへのアクセスを許可します。
  • Require valid-user
    全ての認証されたユーザに、ディレクトリへのアクセスを許可します。
ここでは、.htpasswdに指定したユーザ、パスワードを求めるようにしますので、3番目のvalid-userを指定します。

.htpasswd の作成、設置

.htpasswdの作成は、いたって簡単です。
通常は、apacheに同梱されている htpasswd を使って作成します。

htpasswd のパラメータは、それぞれ、以下の意味になります。

myName : ユーザ名
myPassword : パスワード
$ cd  /home/user/public_html/test/
# CRYPT 暗号化
$ htpasswd -nbd myName myPassword > .htpasswd

最初は、.htpasswd を設置すべきディレクトリへ移動しただけです。
次が、符号化(暗号化)で、UNIX(Linuxも含む)で最も良く利用されているCRYPTによる変換です。
※ -nbd に注意してください。

以下は、MD5による変換です。
※ -nbm に注意してください。

# apr1 (Apache MD5) 暗号化
$ htpasswd -nbm myName myPassword > .htpasswd

以下は、SHA1による変換です。
※ -nbs に注意してください。

# SHA1 暗号化
$ htpasswd -nbs myName myPassword > .htpasswd
ユーザを増やしたい場合は、リダイレクトを追加すればOKです。

$ htpasswd -nbs myName2 myPassword2 >> .htpasswd
みたいに >> を使えばOKです。

一般的には、CRYPTでパスワードファイルを設定することが多いようです。

MD5SHA1が、あまり利用されないようになっているのは、
SHA1+Base64の単純なエンコードであること、
に起因しているのではと思います。

以下は、PHPの中のハッシュ関数に関する記載内容です。
MD5 や SHA1 そして SHA256 といったハッシュアルゴリズムは、 高速かつ効率的なハッシュ処理のために設計されたものです。 最近のテクノロジーやハードウェア性能をもってすれば、 これらのアルゴリズムの出力をブルートフォースで(力ずくで)調べて元の入力を得るのはたやすいことです。
最近のコンピュータではハッシュアルゴリズムを高速に「逆算」できるので、 セキュリティ技術者の多くはこれらの関数をパスワードのハッシュに使わないよう強く推奨しています。
と、いずれにしてもBasic認証している以上は、暗号化されているとはいえ パスワードは垂れ流しなので、それほどセキュリティ面で十分とは言えないことがご理解いただけるのではないでしょうか。

やらないよりは、やった方が良い というのは間違いありません。ただ、これでバッチリとは言えないことも十分理解しておく必要があります。
ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

Nginx でBasic認証(ユーザ名、パスワードを求める )するには

以前に、「.htaccessでユーザとパスワードを求める(Basic認証)」でapache におけるBasic認証(ユーザ名、パスワードを求める ...

.htaccessで特定のホストからのアクセスを拒否する

今回は、apacheのアクセス規制です。 ここでの話は、FreeBSDもCentOSも関係なく、apacheの設定です。 一般的に、リダ ...

apache のsuEXEC で phpを動かしてみる

前回の「apache で phpのモジュール版とcgi版の切り替えを行ってみる」の関連で、suEXECを使ってみたいと思います。 ...

httpd(apache)をインストールする(CentOS,ScientificLinux編)

さあ、ここまでに、phpとMySQLのインストールを行ってきました。 phpとMySQL、そして、httpd(apache(WEBサーバー)) ...

apacheをインストールする(Debian,Ubuntu編)

今回は、apache(WEBサーバー)をインストールしてみます。 CentOS,ScientificLinux では、httpd という名前の ...



コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.2343 [s]