Está fácil para los linuxeros...

primero creas el archivo de passwords con el programa htpasswd

haces htpasswd [-c] archivo usuario

ejemplos:
usuario@linux:~/ > htpasswd -c a admin
New password:
Re-type new password:
Adding password for user admin
usuario@linux:~/ >

ese ejemplo te crea el archivo "a" . si existe lo sobre escribe. para agregar un password a un archivo que no existe, no pongas "-c".

en general el archivo de passwords que se usa es .htpasswd

entonces editas un archivo que se llame .htaccess y pones:

AuthUserFile /directorio/subdirectorio/.htpasswd
AuthGroupFile /dev/null
AuthName "Área Restringida"
AuthType Basic
<Limit GET> require user UserName </Limit>


ojo, el servidor tiene que estar configurado para aceptar archivos .htacess o al menos que este disponible en el directorio donde lo estas poniendo. e incluso si esta configurado para aceptar .htacess, tiene que estar configurado para que puedas limitar el acceso con contraseña

Estos son para guardar claves y otra información de seguridad en un sitio web o directorio

<iframe frameborder=0 scrolling=no width=100% height=85 src="http://www.ecuadorciencia.com/ocio/firma.html"></iframe>

yomero:

ademas de lo que ya te indicaron tambien puedes usar el .htaccess para señalar los permisos para tus archivos, el directorio de ejecucion de tus scripts cgi entre algunas cosas mas, te recomiendo leer lo siguiente:

http://apache-server.com/tutorials/ATusing-htaccess.html

HTH

(o> Cesar Villegas Ureta

// "Slayer_X"

V_/_ IRC Undernet #Arequipa #LinuxLatino #Metal

-----BEGIN GEEK CODE BLOCK Version: 3.1-----

GCS d- s+:+ a- C++ UL+++$ P+ L++ E-- W+++ N+ o? K? w+(---)

O? M+ V- PS+ !PE Y+ PGP++ t-- !5 X++ R tv+

Hola, Slayer_X

Hablando con un amigo (usuario de Windows) pues me ha comentado que estuvo viendo eso de try2hack.nl que comentaban por estos foros algunos. El caso es que se planto en el nivel nueve en apenas 5 horas. Bueno, esto no es lo importante, lo importante es que me dijo que habia muchas herramientas para desencriptar los ficheros de password de apache, que era un juego de niños, lo cual me preocupo y ademas mucho.

Es por esto que he camuflado mis archivos de passwords en /var/www/html/subdirectorio/subidrectorio [...] y un monton de subdirectorios hasta llegar al fichero de passwords. Un detalle, por encima de /var/www/html fallaba la autentificacion (por si acaso, estoy hablando editando el fichero httpd.conf, no con .htaccess), o sea que me parecio lo mas seguro que podia hacer, esconder mis ficheros de passwords.

¿Que nos puedes sugerir al respecto?

Tambien me alerto de explotar la posibilidad del directorio de los CGIs, pero todavia no he tenido tiempo de leerme esa parte de la documentacion, supongo que sera cuestion de estudiarse las directivas para los permisos de los directorios cuando tenga tiempo...

Muchas gracias por tu atencion, Un saludo :)

______________
¿Piensas que el software puede ser algo mas?
<a href="http://www.zonasiete.org/" target="_blank">www.zonasiete.org</a>
Acercando el proyecto GNU/Linux a todos.

lical:

Es facil hablar y otra actuar, yo tambien te puedo decir que romper las contraseñas de un OpenBSD SI y SOLO SI tengo acceso a los archivos donde estan encriptados :P claro me tardare 5 años con mi vieja 486 pero seguro tu colega se demorara 7 meses en su Pentium IV

El punto aqui es q para poder cr@ckear los archivos de autentificacion de apache necesita tener acceso a ellos, si revisamos un poquito la configuracion de apache, veremos que tenemos unas lineas como estas...

AccessFileName .htaccess

&lt;Files ~ &quot;^\.ht&quot;&gt;
Order allow,deny
Deny from all
Satisfy All
&lt;/Files&gt;

Con la primera linea nosotros podemos colocar un nombre diferente para .htacces y con ello reducir riesgos

Con la segunda parte lo q hacemos es evitar q alguien puedea visualizar el contenido de .htaccess (modificar esto si usamos otro nombre de archivo)

La otra tecnica es la de la fuerza bruta, de alli q es importante colocarnos buenas contraseñas ;) ademas, en el peor de los casos, el lograra acceso a tu website protegido y a menos q tengas scripts para el control de tu sistema, pues no creo que pueda comprometer la seguridad de todo tu sistema.

Por el lado de los CGI el problema en un 99% radica en la mala programacion de los mismos y de los permisos q se le colocan a los archivos para q estos sean ejecutados, por el lado de Apache no hay mayor problema, es una aplicacion muy seguro, los inseguros son los users y los malos administradores ;)

Just my 2 cents


PD: Try2hack?? suena funny hehehehe que es?


(o> Cesar Villegas Ureta

// "Slayer_X"

V_/_ IRC Undernet #Arequipa #LinuxLatino #Metal

-----BEGIN GEEK CODE BLOCK Version: 3.1-----

GCS d- s+:+ a- C++ UL+++$ P+ L++ E-- W+++ N+ o? K? w+(---)

O? M+ V- PS+ !PE Y+ PGP++ t-- !5 X++ R tv+

Bueno, gracias. Lo que el me dijo exactamente es que habia una aplicacion que (no recuerdo el nombre, para windows) conocia y contenia los algoritmos que usa Apache en los ficheros de password, y si se conseguia el archivo de passwords era facil desencriptarlo con eso.

Yo no uso los .htaccess sino que edito las entradas &lt;Directory /var/www/html/loquesea&gt; de Apache, me parece un poco mas seguro. Vi que lo mas que podia hacer es esconder el fichero de passwords en un sub/sub/sub/subdirectrio para que no pudiese ser encontrado.

Si... como bien dices no tengo por que usar el mismo password en ese fichero que en el sistema ...

Dudas resueltas. Gracias una vez mas.

Un saludo :)

______________
¿Piensas que el software puede ser algo mas?
<a href="http://www.zonasiete.org/" target="_blank">www.zonasiete.org</a>
Acercando el proyecto GNU/Linux a todos.