当我今天部署应用程序时,我问自己 Apache 密码文件存储的最佳实践是什么。
例如:
- 我有几个基于 ServerName 的虚拟主机,每个虚拟主机都在
/etc/apache/sites-available
中的单独文件中声明 - 其中一些虚拟主机使用 htpasswd 实用程序进行密码保护。
- 多个虚拟主机之间没有通用的帐户。这意味着每个虚拟主机都有自己的密码文件。
- 每个网站均部署在
/var/www/projectname
- 由于这些应用程序是通过持续集成构建的,因此不能将密码文件放入项目文件夹中。它们将在下次部署时被删除。
那么这些文件应该放在哪里呢?
最佳答案
首先,apache basic-auth 是垃圾,应该避免。无论如何,如果您有身份验证,请确保它通过 https,否则它完全没有用。 (以及是,SO's authentication is completely and totally useless because its not over https。)
如果您必须使用 apache 的身份验证,请使用 AuthDigestFile 并将文件存储在文档根目录之外。确保您的 Web 应用程序没有读取权限。
关于security - apache 的密码文件放在哪里?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7928016/