PHPFrance

Protéger un répertoire

Par Damien, mardi 15 mars 2005 à 18:37 :: Apache :: #24 :: rss

Lorsque l'on écrit des scripts, il ne faut pas oublier l'aspect sécurité, entre autre en protégeant les parties administration par mot de passe. Sous Apache, cela peut se faire en utilisant des fichiers .htaccess.

1- Principe

Pour cela nous allons utiliser deux fichiers : un fichier .htaccess pour indiquer au serveur de protéger le répertoire par mot de passe, et un fichier mot de passe (par convention .htpasswd) pour stocker les logins et mots de passe.

2- Fichier .htpasswd

Commençons par créer le fichier dans lequel on va stocker les informations sur les utilisateurs autorisés.

Commande htpasswd

Si vous pouvez accéder au serveur par SSH (ou telnet), il existe une commande permettant d'ajouter automatiquement un utilisateur dans le fichier .htpasswd.

htpasswd -c .htpasswd utilisateur

Ou, si le fichier existe déjà :

htpasswd .htpasswd utilisateur

Vous pouvez utiliser plusieurs types de cryptage des mots de passe, à l'aide des options suivantes :

Option	Type de cryptage
-d	Utilise la fonction système crypt, basée sur le DES. 8 caractères maximum
-m	Utilise l'algorithme de hachage MD5.
-s	Utilise l'algorithme de hachage SHA1.

Note : L'option -d (peu recommandée) est utilisée par défaut.

Edition manuelle

Mais vous pouvez également le faire manuellement. Un fichier .htpasswd est structuré tel quel :

utilisateur:mot_de_passe_crypte
autre_utilisateur:autre_mot_de_passe_crypte

Il y a donc un utilisateur par ligne, composée du login suivi du signe "deux points", puis d'un mot de passe crypté. Voir le tableau plus haut pour la liste des modes de cryptage possibles.

Pour crypter le mot de passe vous pouvez utiliser ce script : http://igalaxie.com/utils/crypt.php

Imaginons que l'on veuille autoriser paul et pierre, ayant respectivement pour mot de passe poire et pomme (quelle créativité ;o)).

paul:TGGkwpqcDfY52
pierre:rpViM37EXGz1A

Puis, luc et olivier, beaucoup plus rigoureux, qui choisissent les mots de passe 'Ux/T1Xgm8 et (0a5)qjs+D utilisant respectivement les modes de cryptage md5 et sha1 :

paul:TGGkwpqcDfY52
pierre:rpViM37EXGz1A
luc:$1$X9aQKS1A$gMvl6iycb1WiONnzxPYKb1
olivier:{SHA}a0fd046e5da24826ba36de0bf0ad8cbaa4f2de1a

3- Fichier .htaccess

Le fichier .htaccess permet d'indiquer au serveur web que l'on souhaite protéger notre répertoire par mot de passe. Sa syntaxe à utiliser peut varier en fonction de votre hébergeur.

En général

Dans la plupart des cas, on utilisera la syntaxe suivante :

AuthUserFile /home/www/chemin/.htpasswd
AuthGroupFile /dev/null
AuthName "Acces Restreint"
AuthType Basic

<Limit GET POST>
require valid-user
</Limit>

AuthUserFile donne le chemin du fichier mot de passe, tandis que AuthName définit le message affiché dans la fenêtre d'identification. Le Limit indique que tout le répertoire est protégé.

Il est également possible de protéger uniquement certains fichiers (en ajoutant autant de Files que de fichiers à protéger).

AuthUserFile /home/www/chemin/.htpasswd
AuthGroupFile /dev/null
AuthName "Acces Restreint"
AuthType Basic

<Files admin.php>
require valid-user
</Files>
<Files effacer.php>
require valid-user
</Files>

Sous Cobalt

Sous Cobalt la syntaxe est un peu différente :

order allow,deny
allow from all
require valid-user
AuthUserFile /home/www/chemin/.htpasswd
AuthPAM_Enabled off
AuthName "Acces Restreint"
AuthType Basic

Free / Online

Chez Free / Online la syntaxe diffère également :

PerlSetVar AuthFile secret/passlist
AuthName "Acces Restreint"
AuthType Basic

<Limit GET POST>
require valid-user
</Limit>

Pour en savoir plus sur Online et Free, vous pouvez également consulter le site de Proxad.

4- Conclusion

Et voilà ! Ce n'est pas plus compliqué, et tellement utile.

Sachez qu'il existe des scripts permettant de gérer tout ceci automatiquement. Je vous laisse chercher, en fonction de vos besoins.

Trackbacks

Aucun trackback.

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le samedi 26 mars 2005 à 17:08, par scaraber

et apres comment le metre sur le ftp?
car sa me met une erreur
merci de votre reponce

2. Le mardi 29 mars 2005 à 16:28, par Damien

Il faut bien vérifier que le chemin du fichier des mots de passe (directive AuthUserFile) est correct. Mais si vous avez toujours un problème, je vous conseille plutôt de demander de l'aide dans les forums.

3. Le vendredi 17 juin 2005 à 15:14, par Kosty

Salut ! J'ai mon serveur apache sur mon pc mais en insérant ces codes ca ne fonctionne pas :-(

4. Le vendredi 17 juin 2005 à 18:30, par Damien

Dans le httpd.conf de Apache, il faut bien activer la lecture des fichiers .htaccess
- Dans le "<Directory "D:/www">" vers la ligne 350 (D:/www est un exemple, varie selon le dossier de vos fichiers web), changer la valeur de AllowOverride en All, c'est à dire : "AllowOverride All"
- Un peu plus bas, vers la ligne 400, définir le nom des fichiers htaccess avec la directive AccessFileName. Par exemple "AccessFileName .htaccess".
Si le problème persiste, je vous conseille de demander dans les forums, en donnant plus de détails sur le problème (que se passe t'il, y a t'il un message d'erreur, rien de s'affiche, etc...).

5. Le lundi 27 juin 2005 à 16:15, par lamarmotte

Petite question....

Peux avoir un script qui s'ifentifie via le fichier htacces pour accéder à un fichier du repertoire?

Merci pour la réponse.

6. Le mardi 5 juillet 2005 à 18:10, par Silver

Moi je mets bien le .htaccess & le .htpasswd, mais, quand je rentre mon pass : Il me remet la fenêtre d'identification, le pass est donc érroné .. D'ou ça peut venir svp ?

7. Le mardi 26 juillet 2005 à 23:11, par To(_)Mo(_)

Voila jai pas tou compris
voila jai tou conpris sur le ficher .htaccess

8. Le mardi 2 août 2005 à 10:42, par fred

est ce que cela fonctionne sur un serveur windows IIs ?
Merci

9. Le lundi 15 août 2005 à 01:32, par papanoel

md5 = hashage pas cryptage !
le mot de passe ne peut plus être récupéré (conventionnellement en tout cas) après hashage, alors que le cryptage est prévu pour permettre le décryptage...

10. Le jeudi 8 septembre 2005 à 02:09, par yann

il faudrait expliquer comment fonctionnent les adresses. je ne connais pas l'adresse de mon fichier .htpasswd même si je sais dans quel répertoire il est.
qu'est-ce que AuthGroupFile ?

merci

11. Le jeudi 8 septembre 2005 à 02:11, par yann

oops j'oubliais : qu'en est-il dy cryptage/hachage quand on fait ça manuellement ? où spécifie-t-on le mode de cryptage ?

12. Le mercredi 5 octobre 2005 à 16:44, par flint

Sous windows, il ne faut pas "hasher" les mots de passe (et oui!).

13. Le samedi 22 octobre 2005 à 20:34, par JC

tu es sûr que ça marche avec iis ? j'ai essayé mais en vain... quelqu'un aurait une solution pour faire du htaccess sur iis ? merci !

14. Le mercredi 9 novembre 2005 à 09:35, par Didier

le htaccess fonctionne sous windows mais avec Apache !!! evidemment pas avec IIS qui ne soutient d'ailleurs pas la comparaison au niveai sécurité mais ce n'est pas l'endroit pour ce genre de débats.
Bonne journée.

15. Le jeudi 12 janvier 2006 à 16:21, par FrenchConneXion

Merci pour tout ces détails, et surtout merci à Damien pour ces commentaires très utiles ^^ Je crois que j'aurais pu chercher des heures avant de trouver d'où venait le problème... en effet il faut bien vérifier que les .htaccess sont activés sur le serveur !

16. Le lundi 23 janvier 2006 à 23:26, par ktone

Salut
j'ai fait un accès restreint sur un domaine, je protège un répertoire mais il me demande le mot de pass a chaque fois et considère le mot de passe comme erroné.
J'ai tout vérifié mais je ne vois pas mon erreur , j'ai trouvé le chemin entier pour le fichier des mdp etc...
J'avais déjà fait ça chez free et tout marchait bien et maintenant après avoir fait les modifs necessaires pour que ça marche sur mon domaine il me fait cette erreur donc je ne comprend pas.
Quelqu'un pourrait-il m'aider?

merci @+

17. Le vendredi 17 mars 2006 à 19:39, par TM

As-tu trouvé comment faire car je crois que j'ai exactement le même probleme que toi.

merci

18. Le jeudi 30 mars 2006 à 15:24, par didou

un petit up...
pareil que vous.
je met mon pass puis valid et rien ne se passe, il me redemande mon pass indefiniment.
j'ai essayé plusieurs cryptage puis sans cryptage du tout mais ca ne change rien.
j'ai l'impression qui ne valide pas l'accord du pass.

19. Le samedi 13 mai 2006 à 07:48, par SPY

Pour connaitre le chemin du répertoire à protéger sur votre serveur web distant, créez un fichier realpath.php et copiez-y ce code :

<?
echo realpath("index.php");
?>

Attention, un fichier nommé index.php doit être présent, s'il n'y en a pas, remplacez index.php par un fichier existant dans le répertoire que vous souhaitez protéger.

Placez le fichier realpath.php en racine du répertoire à protéger.

Lancez votre navigateur web et appelez le fichier realpath.php. La fonction realpath() va retourner, selon votre hébergeur, un résultat semblable à celui-ci :

/home/monsite/www/repertoireaproteger/index.php

Il ne vous reste plus qu'à copier ce chemin ( sans index.php ) et à le coller dans le fichier .htaccess :

AuthUserFile /home/monsite/www/repertoireaproteger/.htpasswd

20. Le samedi 13 mai 2006 à 07:54, par SPY

Pour crypter un mot de passe sur votre serveur web

Créez un fichier mdp.php contenant le code suivant en remplaçant "motdepasse" par le mot de passe que vous voulez cryper :

<?
echo crypt("motdepasse");
?>

Placez ce fichier sur votre serveur web et appelez le avec votre navigateur internet. Voila votre mot de passe crypté

21. Le dimanche 18 juin 2006 à 09:32, par Federal Employment Verification

I use Firefox in Ubuntu :(

22. Le samedi 1 juillet 2006 à 21:17, par papyresiste

bonsoir à tous età toutes.
tout d'abord SUPER BRAVO pour le site
et POUR LES EXPLICATIONS
car j'ai résolu bien des problèmes grâce à cette communauté.

Voici mon problème : fichier .HTPASSWD & .HTaccess
à se taper la tête contre les murs :

j'ai fait exactement ce que vous avez dit ici
et SYSTEMATIQUEMENT est demandé le mot de passe 3 fois avant de retourner une erreur 401.

j'apprécierai vraiement une aide particulière.
si je lis mon serveur il dit :
/var/www/html/TOTO/TUTU/
si je lis l'adresse http cela donne :
www.monsite.fr/TOTO/TUTU
quelque soit la prise en compte je ne réussis pas à sortir de mon problème

SOS NE M ABANDONNEZ PAS JE SUIS PERDU
merci à toutes et à tous et bonnes vacances pour les veinards qui partent

23. Le jeudi 7 septembre 2006 à 12:23, par Liloune

Bonjour je suis un peu perdu, j'ai fais exactement toutes les manipulations demandé et rien ne se passe.

J'ai créé le fichier "realpath.php" , ainsi que "mdp.php", puis mes deux fichiers ".htaccess" et ".htpasswd"

J'ai mit le mot de passe crypté dans le dossier ".htpasswd", comme texte j'ai indiqué ".htaccess" :
AuthUserFile C:\Inetpub\vhosts\nomdedomaine\httpdocs\boutique\admin\.htpasswd
AuthGroupFile /dev/null
AuthName "Acces Restreint"
AuthType Basic

<Limit GET POST>
require valid-user
</Limit>

et mes deux dfichiers sont dans le dossier à protéger.

pourquoi cela ne marche pas ?
Merci de votre réponse.

24. Le dimanche 1 octobre 2006 à 07:43, par Jojo

Mon serveur me demande indéfiniment le mot de passe alors qu'il est bien dans le fichier .htpasswd (le mot de passe a été crypté par htpasswd.exe en MD5). J'ai plus qu'a faire anuler et j'ai une erreur 401.

J'suis désespéré, pourquoi ça marche pas ???????

25. Le dimanche 1 octobre 2006 à 07:59, par Loulou

En fait la solution est simple...
Il faut juste taper dans le fichier .htaccess :

c:/progra~1/easyph~1/www/.htpasswd
au lieu de /home/www/.htpasswd

26. Le samedi 9 décembre 2006 à 00:41, par Seb

oui il faut toujours proteger ses repertoires car meme si on ne met aucun lien pointant vers ce repertoire, il arrive que les moteurs de recherche le trouve et en indexent le contenu...

dans ce cas il est vrai qu'un simple index.html peut limiter le risque en évitant le listing... mais si vos fichiers ont des noms bateau : db.inc passwords.inc ... ils ne sont pas à l'abri !

27. Le mercredi 24 janvier 2007 à 23:40, par Bastan

Bonjour,

Bon, ben chez moi (FREE) ça marche bien, MAIS lorsque on clique sur le bouton "Annuler" au moment de l'identification, ça envoie vers une fenêtre blanche horrible d'erreur du serveur...
Comment éviter ça et rediriger vers une page du site ? La précédente tout simplement...

Merci si ququ'un sait...

28. Le mardi 12 juin 2007 à 17:01, par janvier18

merci beaucoup pour cette explication.
Moi je suis chez OVH et ça fonctionne très bien.
J'avoue que, étant débutant, j'ai eu un peu de mal à mettre tout ça en place (erreur de chemin, de syntaxe et cie...), mais là tout fonctionne à merveille.
Encore merci et bravo.

29. Le mardi 3 juillet 2007 à 01:39, par ddd

ce tuto est nul
ca marche pas du tout
damien t'assures pas un clou

30. Le mercredi 4 juillet 2007 à 22:31, par fripou44

Bonjour,

J'ai ce message avec easyphp 2.0 ?? j'ai suivi vos recommandation avec c:/progra~1/easyph~1/www/.htpasswd
au lieu de /home/www/.htpasswd pourtant j'ai le même message...
de plus, j'ai un problème sur ce serveur... Avez-vous une suggestion... ??????

cordialement Merci

500 - Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, admin@localhost and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

31. Le mercredi 4 juillet 2007 à 22:36, par Fripou 44

erreur dans le premier message, j'ai mis cette direction c:/progra~1/easyph~2/www/.htpasswd

Autre info, Pour crypter le mot de passe vous pouvez utiliser ce script : igalaxie.com/utils/crypt....
La page est sympa mais si on ne peut pas l'avoir en local en copiant le scripte, bah ! c'est pas simple...
J'ai enregistrer la page.php et je me retroue avec un cripte blanc quand j'appui sur le bouton... !!!

Tchao

32. Le vendredi 21 septembre 2007 à 20:31, par Herbivor

ddd:
"ce tuto est nul
ca marche pas du tout
damien t'assures pas un clou"
C'est toi qui es nul, tu sais pas t'en servir !

33. Le mardi 25 septembre 2007 à 18:37, par omanos

bonjour,
quand j'entre dans ma page du dossier protégé par le .htpasswd le navigateur me demande le nom d'utilisateur et le mdp.
avec un mdp non crypté j'arrive à y acceder.
par contre avec un mdp crypté il me redemande le nom et le mdp.

pourquoi cela ne fonctionne-t-il pas avec un mdp crypté ?

34. Le samedi 5 janvier 2008 à 00:40, par test qi

Je me souvient m'être déjà cassé les dents sur cela avec FREE :)

35. Le vendredi 1 février 2008 à 15:47, par Glouton

Bonjour, j'essaie depuis des heures tout ce qui est expliqué plus, et rien ne marche. On me demande toujours mon mto de passe et après, erreur 401. Help !
merci d'avance

36. Le samedi 24 janvier 2009 à 16:51, par epinoche

Bonjour,
j'ai enfin réussi non sans mal car c'est ardu quand même. Effectivement, dans la plupart des cas, quand cela ne marche pas c'est que le fichier .htpasswd n'est pas accessible. Il faut bien indiquer le chemin complet à partir de la racine du serveur et l'astuce ci-dessous, indiquée plus haut fonctionne.
<?
echo realpath("index.php");
?>
Il faut faire attention à tout, un rien embrouille le résultat mais avec un peu de persévérance on y arrive.
Bon courage
Francis

37. Le vendredi 13 février 2009 à 11:03, par Lutin_radioactif

Bonjour,

Je veux passer mon .htpasswd an SHA (sha1) le problème c'est qu'il me renvoit une HTTP error 401 quand je met le mot de passe.
Je tourne sur Windows XP avec WampServer 2.
Ne me dite pas que Windows ne support pas les mots de passe cryptés car ça marchait très bien avant quand je générais des password crypté (hachées) avec l'utilitaire htpasswd.exe de Apache qui utilise un algo de type md5 modifier qui génère un hash différent à chaque fois.
Seulement je veux faire un script PHP qui remplit le .htpaswwd il me faut donc un script qui peut générer pass APR1 md5 ou bien trouver le moyen de dire à Apache que je veux utiliser un autre algo de cryptage.

Merci de votre d'avance pour votre aide.
Cordialement.

P.S: j'ai bien mit {SHA} avant le password dans le .htpasswd.

38. Le mercredi 25 mars 2009 à 11:19, par Antibug

Mettez le chemin entre cote si vous avez des espaces comme avec program files...

AuthUserFile "c:\program files\easyphp1-8\www\Mon site\Perso\.htpasswd"

Moi c'est ça qui déconnait. Sinon idem sous windows 2000 il ne veut pas du pass crypté, en clair ça passe sans souci.

39. Le lundi 22 juin 2009 à 05:54, par alexis10

Bonjour,
est-ce que si je met une protection comme avec les fichiers .htaccess, dans le repertoire "toto/img" est-ce que ma page web "index.html", se situant dans le dossier "toto", peut afficher des images contenus dans le dossier "toto/img" ?

En fin de compte, j'aimerai protégé mes dossiers et les images qu'il contient, mais pouvoir aussi afficher ces derniéres via une page web ! La seul protection que j'utilise jusqu'à maintenant, c'est de mettre un fichier "index.html" dans chaque dossier (mais l'internaute pourra toujours accéder directement à mon image en faisant par exemple "toto/img/image.jpg"

Merci pour future réponse et les tutos très bien expliqués que vous faites !

Alexis10

AIDE

RESSOURCES

A PROPOS

Tutoriaux