Apache : Protection d'un dossier par authentification digest
Par LePiaf le dimanche, février 20 2011, 16:41 - Securité - Lien permanent
Le thème que nous allons aborder sera "la protection d'un dossier" et plus particulièrement l'authentification de type digest.
Sous apache, il existe de type d'authentification. Le basic qui consiste à envoyer les mots de passe en clair. Et l'autre méthode, nommé "digest". Elle va chiffrer le mot de passe en MD5 avant de l'envoyer dans le réseau. Cela offre une meilleure sécurité comparé au basic. Cependant, si le mot de passe est un mot du dictionnaire, cela sera inutile, puisqu'il existe de table qui permettent de retrouver le mot à partir du hash MD5.
Configuration du fichier .htaccess
Nous allons écrire le fichier qui va décrire les règles d'authentification.
AuthName "secure zone"
AuthType Digest
AuthUserFile "/var/www/folder_to_secure/.htpasswd"
Require valid-user
- AuthName est le nom de la zone à protéger.
- AuthType ici il sera de type Digest
- AuthUserFile chemin vers le fichier qui contiendra le nom d'utilisateur et le mot de passe
- Require valid-user pour accéder à ce dossier, une authentification sera demandé
Configuration du fichier .htpasswd
Pour écrire ce fichier, il faudra utilisé un outil en ligne de commande pour le générer. Selon les distribution (pour Debian), il peut y avoir un grain de sel qui y soit ajouter. La commande est la suivante:
htdigest -c passwordfile realm username
- -c pour la création d'un nouveau fichier
- passwordfile chemin du ficher à crée
- realm nom de la zone à sécurisé. Le nom a entré doit être le même que celui que nous avons renseigné dans AuthName
- username nom d'utilisateur à ajouter
Donc,
htdigest -c "/var/www/folder_to_secure/.htpasswd" "secure zone" admin
Entrez le mot de passe, et c'est fini 
Votre dossier est protéger, et le mot de passe est chiffré
Source: Apache Authentication, Authorization, Access control
Derniers commentaires