Железная защита форума при помощи .htaccess & .htpasswd

[RuBo]

Чего-то не выходит. Положил в папку admin файл .htaccess с кодом:

Код: Выделить всё

AuthUserFile /.htpasswd
AuthName "Access to the panel of administration"
AuthType Basic

<Limit GET POST>
require valid-user
</Limit>

Положил в корневую директорию файл .htpasswd сгенеренный вышеупомянутой прогой.

При попытке зайти в админский раздел форума появляется окошко эксплорера с требованием ввести логин и пароль. Ввожу безрезультатно, а после трех попыток:

Authorization Required
This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.
--------------------------------------------------------------------------------
Apache/1.3.33 Server at www.forum.mbq.ru Port 9410

Пробовал класть файл и в директорию сайта.

[VVVas]

AuthUserFile /.htpasswd

Путь нужно указывать от корня сервера, а не от корня той папки выше которой вас не пускает или выше которой вы ничего не видите. Проконсультируйтесь у хостера какой у вас абсолютный путь к вашей директории на хостинге.

[RuBo]

Проконсультируйтесь у хостера какой у вас абсолютный путь к вашей директории на хостинге.

Спасибо. Дело было действительно в неправильном пути. У хостера на сайте нашел FAQ с ответом.

[incubus]

Получается, что если пароли будут лежать в одном файле, то и модератор также сможет пройти .htaccess админки?

Я сделал так: создал директорию forum/pass/.htpasswd (с вложенным .htaccess для защиты файла) - это для /admin/

и директорию: forum/pass/pass/.htpasswd (также с вложенным .htaccess) это для modcp.php и теперь у каждого свой доступ. Работает правильно. Хотел спросить: правильно ли я сделал и безопасно ли это, что в папке с паролями еще одна папка с паролями?

[Alexalexis]

а в папке forum лежит сам форум? .htpasswd можно назвать и иначе (и таким образом положить два в один каталог). Но каталог этот лучше расположить выше уровнем, чем форум и вообще папка, видимая из интернета.

[incubus]

а в папке forum лежит сам форум?

Да.

.htpasswd можно назвать и иначе (и таким образом положить два в один каталог)

Интересно. Тогда получается .htaccess нужно два создать - на оба файла или можно один на все? Как это лучше прописать?

Но каталог этот лучше расположить выше уровнем, чем форум и вообще папка, видимая из интернета.

Спасибо, так и сделаю.

Я вот еще не совсем понял, как сделать чтобы шла переадресация на HTML страничку. Ткните пожалуйста в пост, где это говорится. Или я что-то не правильно понял?

[Alexalexis]

.htpasswd можно назвать и иначе (и таким образом положить два в один каталог)

Интересно. Тогда получается .htaccess нужно два создать - на оба файла или можно один на все? Как это лучше прописать?

Один на каталог. А в каталоге он может защищать все файлы (как например /admin) или несколько, или один.

Я вот еще не совсем понял, как сделать чтобы шла переадресация на HTML страничку. Ткните пожалуйста в пост, где это говорится. Или я что-то не правильно понял?

Это вообще о чём? Откуда переадресация? И на какую страничку?

[Romy]

Я вот еще не совсем понял, как сделать чтобы шла переадресация на HTML страничку. Ткните пожалуйста в пост, где это говорится. Или я что-то не правильно понял?

.htaccess:

Код: Выделить всё

ErrorDocument 401 http://site.ru
ErrorDocument 403 http://site.ru
ErrorDocument 404 http://site.ru
ErrorDocument 500 http://site.ru

Типа это?..

[incubus]

Один на каталог. А в каталоге он может защищать все файлы (как например /admin) или несколько, или один.

Допустим у меня в директории /pass/ есть два файла с паролями: .htpasswd и .htpass как теперь должен выглядеть .htaccess ?

Код: Выделить всё

<Files .htpasswd .htpass>
deny from all
</Files>

Вот так? И он должен лежать в /pass/ ?


Или он должен лежать на уроветь выше папки с паролями и иметь такой вид:

Код: Выделить всё

<Files pass>
deny from all
</Files>

Наверное я написал какую-то лабуду, просто хочу разобраться, ведь это касается безопасности.

Типа это?..

Да. Но где это нужно прописать? А возможно ли как-то сделать, чтобы обращение шло на свою созданную HTML страничку?

[svk]

апач по дефолту не даст просмотреть содержимое всех файлов .ht*

[incubus]

апач по дефолту не даст просмотреть содержимое всех файлов .ht*

Т.е. .htaccess такого вида:

Код: Выделить всё

<Files .htp*>
deny from all
</Files>

лежащий в директории с двумя файлами .htpasswd и .htpass защитит эти файлы?

Да. Но где это нужно прописать? А возможно ли как-то сделать, чтобы обращение шло на свою созданную HTML страничку?

С этим пока никто не может подсказать? Ок, подожду.

[Alexalexis]

Да. Но где это нужно прописать? А возможно ли как-то сделать, чтобы обращение шло на свою созданную HTML страничку?

С этим пока никто не может подсказать? Ок, подожду.

Назовите её 401.shtml
Поместите туда всё, что Вы хотите.
Можете заодно сделать 401.shtml и 404.shtml
Или нормально объясните в каком случае и на какую страничку Вы хотите чтоб перебрасывало.

[incubus]

Назовите её 401.shtml

Поместите туда всё, что Вы хотите.

Можете заодно сделать 401.shtml и 404.shtml

Я немного не понимаю, как это реализовать.

Или вот это, как было написано выше:

Код: Выделить всё

ErrorDocument 401 http://site.ru
ErrorDocument 403 http://site.ru
ErrorDocument 404 http://site.ru
ErrorDocument 500 http://site.ru

Или нормально объясните в каком случае и на какую страничку Вы хотите чтоб перебрасывало.

Я сам запутался, пытаюсь разобраться. Я думал, можно как-то сделать, чтобы при обращении по адресу, где лежит .htaccess, выскакивала страничка с какой-нибудь надписью типа "Такого адреса не существует" или "Ведутся логи" ну или что-нибудь предупреждающее..

[Alexalexis]

А выскакивает что?

[incubus]

А выскакивает что?

Форма для логина и пароля. В общем намудрил я, что сам уже не пойму... Все и так работает.


Для полной убедительности, так будет правильно, как я описал?

Т.е. .htaccess такого вида:

Код: Выделить всё

<Files .htp*>
deny from all
</Files>

лежащий в директории с двумя файлами .htpasswd и .htpass защитит эти файлы?