Kotisivujen suojaus Unix-järjestelmässä

Seuraavat ohjeet vaativat perustietoja unix-järjestelmän käytöstä.

Tabs

Pikaohje

Suojattava hakemisto ja tiedostojen luonti

#mene kotihakemistostasi public_html-hakemistoon
cd public_html
#luo tarvittavat tiedostot
touch .htpasswd .htaccess
#aseta tiedostojen oikeudet oikein
chmod 755 .htpasswd .htaccess
#laita tiedostoon .htpasswd sisällöksi:
AuthType Basic
AuthUserFile /h/a/jotain/jotain/käyttäjätunnus/public_html/secret/.htpasswd
AuthName "Salaiset tiedostot"
require valid-user

#aseta salasana ja käyttäjätunnus
htpasswd .htpasswd haluamasiktunnus

Tarkka ohje

WWW-sivun suojaus salasanalla

Jos haluat suojata kotisivuillasi olevan hakemiston salasanalla, niin luo tähän hakemistoon tiedostot .htaccess ja .htpasswd

#mene kotihakemistostasi public_html-hakemistoon
cd public_html
#luo tarvittavat tiedostot
touch .htpasswd .htaccess

#aseta tiedostojen oikeudet oikein
chmod 755 .htpasswd .htaccess

.htaccess-tiedoston sisällöksi tulisi alla olevan tyyliset asetukset:

AuthType Basic
AuthUserFile /h/a/jotain/jotain/käyttäjätunnus/public_html/secret/.htpasswd
AuthName "Salaiset tiedostot"
require valid-user

#aseta salasana ja käyttäjätunnus
htpasswd .htpasswd haluamasiktunnus

  • AuthUserFile kertoo mistä tiedostosta tarkistetaan käyttäjätunnukset ja salasanat. 
  • Kotisivut ovat kotihakemiston alla. Polun tarkka muoto on jokaisella käyttäjällä erilainen. Kotihakemistoon pääset siirtymään unixissa komennolla cd, ja kun olet siirtynyt sinne, näet kotihakemiston polun komennolla pwd (print working directory). Muokkaa esimerkin polku vastaamaan omaa polkuasi! Salasanatiedosto on yleensä nimetty .htpasswd:ksi.
  • AuthName on kuvaus hakemiston sisällöstä, joka näytetään selaimen salasanakyselyssä.
  • .htpasswd-tiedoston sisältö muodostuu käyttäjätunnus ja salasanapareista. Käyttäjätunnuksena ei ole syytä käyttää omaa tunnustaan ja/tai omaa salasanaansa. Esim:
    • kayttaja:Jk9Jks9d8K989k
    • vieras:3KjkKj8KJn8fd
      • Parissa on ensiksi käyttäjätunnus millä kirjaudutaan hakemistoon ja kaksoispisteen jälkeen on salasana kryptatyssa muodossa.
  • Salasanojen kryptayksen voi tehdä esimerkiksi sivuston http://aspirine.org/htpasswd_en.html avulla. Algoritmiksi valitaan MD5.

HUOM! Vaikka tiedostot ovatkin www-palvelimelta saatavissa vain jos tietää salasanan, voi kuka tahansa muu unix-järjestelmän käyttäjä lukea ko.tiedostot jos tietää tarkan hakemistopolun. Mitään erityisen salaista näin siis ei kannata suojata.

Kaikille lukuoikeuksien antamisen voi itse asiassa estää ns. suojauslistoilla: man setacl kertoo lisää, mutta tämä vaatii jo syvempää unix-tuntemusta eikä tätä suositella, ellei tiedä tarkasti mitä on tekemässä. Tällöinkin salasanat kulkevat verkossa selväkielisinä. Jos tämä huolettaa, on vielä mahdollisuus secure-serverin (https://www.helsinki.fi/) käyttöön. Kysy Helpdeskistä lisätietoja.

Rajoittaminen IP-osoitteen perusteella

Hakemiston voi rajoittaa käytettäväksi vain Helsingin yliopiston sisältä seuraavasti:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Vain yliopistolaisille"
AuthType Basic

order deny,allow
deny from all
allow from xyz.zxy.yzx
allow from xzy.zzy.yzx

jossa xyz.xzy.yyz ja xzy.zzy.yzx ovat yliopiston IP-numeroryhmiä.

Kaikkia yliopiston noin sataa aliverkkoa ei kuitenkaan tarvitse naputella, vaan henkilökohtaisilla kotisivuilla tämän voi thedä muodostamalla suojattavassa hakemistossa symbolisen tiedostolinkin komennolla

ln -s /usr/local/yht/www/hy-only.htaccess .htaccess

Mainitun tiedoston voi toki myös kopioida omaan hakemistoonsa, mutta silloin mahdolliset tulevat muutokset eivät päivity suojaustiedostoon.