Уважаемые пользователи!
Напоминаем, что с 7 ноября 2020 года phpBB Group прекратила выпуск обновлений для phpBB версии 3.2.
С учетом этого, рекомендуется обновить конференции до версии 3.3.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до отдельного объявления.

Железная защита форума при помощи .htaccess & .htpasswd

Темы по наиболее часто задаваемым вопросам по phpBB 2.0.x. Читать в первую очередь!
Аватара пользователя
RuBo
phpBB 1.0.0
Сообщения: 7
Стаж: 15 лет 2 месяца
Откуда: Зеленоград

Сообщение RuBo »

Чего-то не выходит. Положил в папку admin файл .htaccess с кодом:

Код: Выделить всё

AuthUserFile /.htpasswd
AuthName "Access to the panel of administration"
AuthType Basic

<Limit GET POST>
require valid-user
</Limit>
Положил в корневую директорию файл .htpasswd сгенеренный вышеупомянутой прогой.

При попытке зайти в админский раздел форума появляется окошко эксплорера с требованием ввести логин и пароль. Ввожу безрезультатно, а после трех попыток:

Authorization Required
This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.
--------------------------------------------------------------------------------
Apache/1.3.33 Server at www.forum.mbq.ru Port 9410


Пробовал класть файл и в директорию сайта.
Аватара пользователя
VVVas
Former team member
Сообщения: 4463
Стаж: 17 лет 7 месяцев
Поблагодарили: 1 раз

Сообщение VVVas »

RuBo писал(а):AuthUserFile /.htpasswd
Путь нужно указывать от корня сервера, а не от корня той папки выше которой вас не пускает или выше которой вы ничего не видите. Проконсультируйтесь у хостера какой у вас абсолютный путь к вашей директории на хостинге.
я люблю daft punk | новый sugoi.ru
Аватара пользователя
RuBo
phpBB 1.0.0
Сообщения: 7
Стаж: 15 лет 2 месяца
Откуда: Зеленоград

Сообщение RuBo »

Проконсультируйтесь у хостера какой у вас абсолютный путь к вашей директории на хостинге.
Спасибо. Дело было действительно в неправильном пути. У хостера на сайте нашел FAQ с ответом.
Аватара пользователя
incubus
phpBB 2.0.1
Сообщения: 255
Стаж: 15 лет 8 месяцев

Сообщение incubus »

Получается, что если пароли будут лежать в одном файле, то и модератор также сможет пройти .htaccess админки?

Я сделал так: создал директорию forum/pass/.htpasswd (с вложенным .htaccess для защиты файла) - это для /admin/

и директорию: forum/pass/pass/.htpasswd (также с вложенным .htaccess) это для modcp.php и теперь у каждого свой доступ. Работает правильно. Хотел спросить: правильно ли я сделал и безопасно ли это, что в папке с паролями еще одна папка с паролями?
Alexalexis
phpBB 1.4.4
Сообщения: 183
Стаж: 15 лет 6 месяцев

Сообщение Alexalexis »

а в папке forum лежит сам форум? .htpasswd можно назвать и иначе (и таким образом положить два в один каталог). Но каталог этот лучше расположить выше уровнем, чем форум и вообще папка, видимая из интернета.
Аватара пользователя
incubus
phpBB 2.0.1
Сообщения: 255
Стаж: 15 лет 8 месяцев

Сообщение incubus »

Alexalexis писал(а):а в папке forum лежит сам форум?
Да.
Alexalexis писал(а):.htpasswd можно назвать и иначе (и таким образом положить два в один каталог)
Интересно. Тогда получается .htaccess нужно два создать - на оба файла или можно один на все? Как это лучше прописать?
Alexalexis писал(а):Но каталог этот лучше расположить выше уровнем, чем форум и вообще папка, видимая из интернета.
Спасибо, так и сделаю.

Я вот еще не совсем понял, как сделать чтобы шла переадресация на HTML страничку. Ткните пожалуйста в пост, где это говорится. Или я что-то не правильно понял?
Alexalexis
phpBB 1.4.4
Сообщения: 183
Стаж: 15 лет 6 месяцев

Сообщение Alexalexis »

incubus писал(а):
Alexalexis писал(а):.htpasswd можно назвать и иначе (и таким образом положить два в один каталог)
Интересно. Тогда получается .htaccess нужно два создать - на оба файла или можно один на все? Как это лучше прописать?
Один на каталог. А в каталоге он может защищать все файлы (как например /admin) или несколько, или один.
incubus писал(а):Я вот еще не совсем понял, как сделать чтобы шла переадресация на HTML страничку. Ткните пожалуйста в пост, где это говорится. Или я что-то не правильно понял?
Это вообще о чём? Откуда переадресация? И на какую страничку?
Аватара пользователя
Romy
phpBB 2.0.3
Сообщения: 396
Стаж: 17 лет 1 месяц
Откуда: tallinn.ee

Сообщение Romy »

incubus писал(а):Я вот еще не совсем понял, как сделать чтобы шла переадресация на HTML страничку. Ткните пожалуйста в пост, где это говорится. Или я что-то не правильно понял?
.htaccess:

Код: Выделить всё

ErrorDocument 401 http://site.ru
ErrorDocument 403 http://site.ru
ErrorDocument 404 http://site.ru
ErrorDocument 500 http://site.ru
Типа это?..
Аватара пользователя
incubus
phpBB 2.0.1
Сообщения: 255
Стаж: 15 лет 8 месяцев

Сообщение incubus »

Alexalexis писал(а):Один на каталог. А в каталоге он может защищать все файлы (как например /admin) или несколько, или один.
Допустим у меня в директории /pass/ есть два файла с паролями: .htpasswd и .htpass как теперь должен выглядеть .htaccess ?

Код: Выделить всё

<Files .htpasswd .htpass> 
deny from all 
</Files>
Вот так? И он должен лежать в /pass/ ?


Или он должен лежать на уроветь выше папки с паролями и иметь такой вид:

Код: Выделить всё

<Files pass> 
deny from all 
</Files>
Наверное я написал какую-то лабуду, просто хочу разобраться, ведь это касается безопасности.
Romy писал(а):Типа это?..
Да. Но где это нужно прописать? А возможно ли как-то сделать, чтобы обращение шло на свою созданную HTML страничку?
Аватара пользователя
svk
phpBB 2.0.3
Сообщения: 384
Стаж: 16 лет 11 месяцев
Откуда: Москва, Fortuna-net

Сообщение svk »

апач по дефолту не даст просмотреть содержимое всех файлов .ht*
NETBYNET Holding system administrator
Аватара пользователя
incubus
phpBB 2.0.1
Сообщения: 255
Стаж: 15 лет 8 месяцев

Сообщение incubus »

svk писал(а):апач по дефолту не даст просмотреть содержимое всех файлов .ht*
Т.е. .htaccess такого вида:

Код: Выделить всё

<Files .htp*> 
 deny from all 
</Files>
лежащий в директории с двумя файлами .htpasswd и .htpass защитит эти файлы?
incubus писал(а):Да. Но где это нужно прописать? А возможно ли как-то сделать, чтобы обращение шло на свою созданную HTML страничку?
С этим пока никто не может подсказать? Ок, подожду.
Alexalexis
phpBB 1.4.4
Сообщения: 183
Стаж: 15 лет 6 месяцев

Сообщение Alexalexis »

incubus писал(а):
incubus писал(а):Да. Но где это нужно прописать? А возможно ли как-то сделать, чтобы обращение шло на свою созданную HTML страничку?
С этим пока никто не может подсказать? Ок, подожду.
Назовите её 401.shtml
Поместите туда всё, что Вы хотите.
Можете заодно сделать 401.shtml и 404.shtml
Или нормально объясните в каком случае и на какую страничку Вы хотите чтоб перебрасывало.
Аватара пользователя
incubus
phpBB 2.0.1
Сообщения: 255
Стаж: 15 лет 8 месяцев

Сообщение incubus »

Alexalexis писал(а):Назовите её 401.shtml

Поместите туда всё, что Вы хотите.

Можете заодно сделать 401.shtml и 404.shtml
Я немного не понимаю, как это реализовать.

Или вот это, как было написано выше:

Код: Выделить всё

ErrorDocument 401 http://site.ru 
ErrorDocument 403 http://site.ru 
ErrorDocument 404 http://site.ru 
ErrorDocument 500 http://site.ru
Alexalexis писал(а):Или нормально объясните в каком случае и на какую страничку Вы хотите чтоб перебрасывало.
Я сам запутался, пытаюсь разобраться. Я думал, можно как-то сделать, чтобы при обращении по адресу, где лежит .htaccess, выскакивала страничка с какой-нибудь надписью типа "Такого адреса не существует" или "Ведутся логи" ну или что-нибудь предупреждающее..
Alexalexis
phpBB 1.4.4
Сообщения: 183
Стаж: 15 лет 6 месяцев

Сообщение Alexalexis »

А выскакивает что? :)
Аватара пользователя
incubus
phpBB 2.0.1
Сообщения: 255
Стаж: 15 лет 8 месяцев

Сообщение incubus »

Alexalexis писал(а):А выскакивает что?
Форма для логина и пароля. :) В общем намудрил я, что сам уже не пойму... Все и так работает.


Для полной убедительности, так будет правильно, как я описал?
incubus писал(а): Т.е. .htaccess такого вида:

Код: Выделить всё

<Files .htp*> 
 deny from all 
</Files>
лежащий в директории с двумя файлами .htpasswd и .htpass защитит эти файлы?

Вернуться в «FAQ (phpBB 2.0.x)»