Apache htpasswd changement de mot de passe sécurisé

Apache htpasswd fichier ne prend pas en charge toute ombre de la fonctionnalité. À cet effet, vous devez empêcher les utilisateurs d'accéder à votre serveur web afin de les éloigner du fichier de mot de passe. Donc, la seule solution est de votre SSH en fonction de l'approche ou de toute autre solution distante. La description qui suit va vous expliquer comment écrire une commande SSH script pour modifier le mot de passe uniquement si l'utilisateur connaît son ancien mot de passe. Le problème majeur est que Apache ne fournissent pas un outil de ligne de commande pour vérifier un mot de passe dans un htpasswd fichier. Mais cela peut être fait à la main.

La description suivante suppose que l'utilisateur du serveur web est www-data et que le répertoire home de l'utilisateur est /var/www.

Vous devez d'abord créer un fichier htpasswd, qui est accessible en écriture par le serveur web de l'utilisateur:

# ls -la .htpasswd
-rw-r--r-- 1 www-data root 18 10. Mai 16:30 .htpasswd

Ensuite, vous devez ajouter les clés de tous vos utilisateurs à la authorized_keys fichier de l'utilisateur du serveur web. Vous devez préfixer chaque ligne avec la command option.

# cat .ssh/authorized_keys 
command="/var/www/.htpasswd.sh" ssh-rsa AAAA... user@host

Chaque fois qu'un utilisateur se connecte avec sa clé seulement la .htpasswd.sh est exécuté. Les utilisateurs n'ont pas tous accès shell sur le serveur web.

C'est le script pour modifier le mot de passe:

#! /bin/bash

HTPASSWD=/var/www/.htpasswd

die () { echo "$*" >&2 ; exit 1 ; }

read -p 'Enter user name: ' USER
read -s -p 'Old password: ' OLDPW ; echo
read -s -p 'New password: ' NEWPW0 ; echo
read -s -p 'Re-type new password: ' NEWPW1 ; echo

if LINE=$(grep ^"$USER": "$HTPASSWD")
then
    echo "$LINE" | sed 's/.*:\(..\)\(.\+\)/ /' | { 
        read SALT CRYPT
        if [[ "$SALT$CRYPT" = $(echo "$OLDPW" | mkpasswd -sS "$SALT") ]] ; then
            if [ "$NEWPW0" != "$NEWPW1" ] ; then
                die "Password verification error!"
            fi
            PWS=$(grep -v ^"$USER:" "$HTPASSWD")
            {
                echo "$PWS"
                echo -n "$USER:"
                echo "$NEWPW0" | mkpasswd -s
            } > "$HTPASSWD"
            echo "Updating password for user $USER."
        else
            die "Password verification error!"
        fi
    }
else
    die "Password verification error!"
fi

La partie la plus délicate est la vérification du mot de passe. Il est fait par la lecture de l'ancien sel et le cryptage de l'ancien mot de passe avec l'ancienne sel. Le résultat est comparé avec l'ancien mot de passe crypté dans la htpasswd fichier.

Désormais, l'utilisateur peut se connecter au serveur web dans le but de changer le mot de passe:

$ ssh www-data@localhost
Enter user name: szi
Old password: 
New password: 
Re-type new password: 
Updating password for user szi.
Connection to localhost closed.

Tout le monde peut uniquement changer son propre mot de passe et personne n'a accès à la crypté le mot de passe des autres utilisateurs. Cette solution a un avantage supplémentaire sur l'utilisation de l'original htpasswd programme dans un script shell, car les mots de passe ne sont jamais utilisés comme argument de ligne de commande. Ce ne serait pas possible avec htpasswd, car il ne peut pas lire le mot de passe à partir de stdin comme mkpasswd.

OriginalL'auteur ceving