在哪里放置apache的密码文件?

时间:2011-10-28 10:22:55

标签: security apache authentication

在我今天部署应用程序时,我问自己Apache Password文件存储的最佳做法是什么。

例如:

  • 我有几个基于ServerName的vhost,每个vhost都在/etc/apache/sites-available
    • 中的单个文件中声明
  • 其中一些vhost使用htpasswd实用程序进行密码保护。
  • 几个虚拟主机之间没有共同的帐户。这意味着每个vhost都有自己的密码文件。
  • 部署这些网站的每个网站都是/var/www/projectname
  • 由于这些应用程序是通过持续集成构建的,因此无法将密码文件放在项目文件夹中。它们将在下次部署时删除。

那些文件放在哪里呢?

1 个答案:

答案 0 :(得分:0)

首先,apache basic-auth是垃圾,应该避免。在任何情况下,如果你有身份验证,请确保它超过https,否则它完全没用。 (并且SO's authentication is completely and totally useless because its not over https。)

如果必须使用apache的auth,请使用AuthDigestFile并将文件存储在文档根目录之外。确保您的Web应用程序没有读取权限。

相关问题
最新问题