Bảo vệ thư mục web với mod_auth_mysql trên Apache2 (Debian Squeeze) Đối với các nhà lập trình web, việc đặt mật khẩu để bảo vệ cho những thư mục web của mình là điều rất quan trọng. Bài viết sau đây chúng tôi sẽ hướng dẫn các user từ một cơ sở dữ liệu MySQL thực hiện điều này với mod_auth_mysql trên Apache2 sử dụng máy chủ Debian Squeeze. Đây là sự thay thế cho tập tin mật khẩu văn bản đơn giản được cung cấp bởi mod_auth và cho phép bạn sử dụng cú pháp SQL bình thường để tạo/chỉnh sửa/xóa user. Bạn cũng có thể cấu hình mod_auth_mysql để xác thực đối với một bảng người dùng hiện tại của MySQL. Một số lưu ý Ở ví dụ minh họa này chúng tôi sử dụng vhost http://www.example.com với tập tin cấu hình vhost /etc/apache2/sites-available/www.example.com.vhost và thư mục root /var/www/www.example.com/web. Yêu cầu đặt ra là thiết lập mật khẩu để bảo vệ thư mục /var/www/www.example.com/web/protecteddir (dịch thành http://www.example.com/protecteddir/). Cài đặt MySQL, mod_auth_mysql Để cài đặt MySQL và mod_auth_mysql, chúng ta chạy lệnh: apt-get install mysql-server mysql-client libapache2- mod-auth-mysql Bạn sẽ được yêu cầu cung cấp mật khẩu cho user root MySQL: New password for the MySQL "root" user: < yourrootsqlpassword Repeat password for the MySQL "root" user: < yourrootsqlpassword Sau đó kích hoạt module mod_auth_mysql: a2enmod auth_mysql Khởi động lại Apache: /etc/init.d/apache2 restart Cấu hình mod_auth_mysql Bạn có thể tìm thấy các tài liệu hướng dẫn cho mod_auth_mysql trong thư mục /usr/share/doc/libapache2-mod-auth-mysql. Để đọc được nó cần gunzip tập tin DIRECTIVES.gz và USAGE.gz: cd /usr/share/doc/libapache2-mod-auth-mysql gunzip DIRECTIVES.gz vi DIRECTIVES gunzip USAGE.gz vi USAGE Sau khi đọc hai tập tin này, chúng ta tạo một cơ sở dữ liệu MySQL có tên examplecomdb, trong đó tạo bảng mysql_auth để chứa những user và password. Thêm vào đó tạo user examplecom_admin, được sử dụng bởi mod_auth_mysql để kết nối tới MySQL sau này. mysqladmin -u root -p create examplecomdb mysql -u root -p GRANT SELECT, INSERT, UPDATE, DELETE ON examplecomdb.* TO 'examplecom_admin'@'localhost' IDENTIFIED BY 'examplecom_admin_password'; GRANT SELECT, INSERT, UPDATE, DELETE ON examplecomdb.* TO 'examplecom_admin'@'localhost.localdomain' IDENTIFIED BY 'examplecom_admin_password'; FLUSH PRIVILEGES; (Thay examplecom_admin_password bằng mật khẩu theo lựa chọn của bạn). USE examplecomdb; create table mysql_auth ( username char(25) not null, passwd char(32), groups char(25), primary key (username) ); (Tất nhiên bạn cũng có thể sử dụng các bảng hiện tại để lưu giữ thông tin của user, và thêm các trường cho bảng chẳng hạn như để xác định xem người dùng hoạt động hay không.) Bây giờ chúng ta insert người dùng test vào bảng mysql_auth với mật khẩu test (mã hóa sang MD5); user này thuộc nhóm testgroup: INSERT INTO `mysql_auth` (`username`, `passwd`, `groups`) VALUES('test', MD5('test'), 'testgroup'); Sau đó rời khỏi MySQL shell: quit; Nếu muốn tạo tập tin .htaccess trong thư mục /var/www/www.example.com/web/protecteddir để chứa cấu hình mod_auth_mysql, đầu tiên cần chỉnh sửa cấu hình vhost để .htaccess được phép chứa các chỉ thị xác thực. Chúng ta có thể làm điều này với dòng AllowOverride AuthConfig hoặc AllowOverride All (cho phép .htaccess ghi đè lên toàn bộ thiết lập trong cấu hình vhost, không chỉ là thiết lập xác thực). vi /etc/apache2/sites-available/www.example.com.vhost [ ] <Directory /var/www/www.example.com/web/protecteddir> AllowOverride AuthConfig </Directory> [ ] (Bạn có thể rời khỏi cấu hình trên nếu AllowOverride AuthConfig hoặc AllowOverride All đã tồn tại cài đặt cho thư mục cha /var/www/www.example.com/web - /var/www/www.example.com/web/protecteddir kế thừa những thiết lập này, trừ khi một cái gì đó khác được đặt bên trong <Directory /var/www/www.example.com/web/protecteddir> </Directory>). Khởi động lại Apache: /etc/init.d/apache2 reload Bây giờ chúng ta tạo tập tin .htaccess: vi /var/www/www.example.com/web/protecteddir/.htaccess AuthBasicAuthoritative Off AuthUserFile /dev/null AuthMySQL On AuthName "Authentication required" AuthType Basic Auth_MySQL_Host localhost Auth_MySQL_User examplecom_admin Auth_MySQL_Password examplecom_admin_password AuthMySQL_DB examplecomdb AuthMySQL_Password_Table mysql_auth Auth_MySQL_Username_Field username Auth_MySQL_Password_Field passwd Auth_MySQL_Empty_Passwords Off Auth_MySQL_Encryption_Types PHP_MD5 Auth_MySQL_Authoritative On require valid-user Các dòng AuthBasicAuthoritative Off và AuthUserFile /dev/null để ngăn chặn các lỗi giống như trong file /var/log/apache2/error.log của Apache: [Wed Jun 11 17:02:45 2008] [error] Internal error: pcfg_openfile() called with NULL filename [Wed Jun 11 17:02:45 2008] [error] [client 127.0.0.1] (9)Bad file descriptor: Could not open password file: (null) Nếu bạn bổ sung các trường trong bảng MySQL để xác định nếu một user cho phép đăng nhập hay không (chẳng hạn trường có tên active), bạn có thể thêm chỉ thị Auth_MySQL_Password_Clause, ví dụ: [ ] Auth_MySQL_Password_Clause " AND active=1" [ ] Lưu ý rằng phải đặt các chuỗi trong dấu ngoặc kép sau một dấu cách! Dòng require valid-user làm cho mỗi user được liệt kê trong bảng mysql_auth có thể đăng nhập nếu cung cấp mật khẩu chính xác. Trường hợp bạn chỉ muốn user nhất định được phép đăng nhập, có thể thay bằng: [ ] require user jane joe [ ] Hoặc nếu chỉ muốn các thành viên trong một nhóm nhất định được phép đăng nhập, ta sử dụng lệnh: [ ] require group testgroup [ ] Bây giờ bạn có thể thử truy cập http://www.example.com/protecteddir/, và sẽ được yêu cầu nhập vào username/password: Thay vì sử dụng tập tin .htaccess chúng ta có thể đặt cấu hình mod_auth_mysql trực tiếp trong cấu hình vhost. Nếu muốn làm điều này, chỉ cần xóa tập tin .htaccess rm -f /var/www/www.example.com/web/protecteddir/.htaccess … và mở tập tin cấu hình vhost: vi /etc/apache2/sites-available/www.example.com.vhost Thêm vào phần sau đây (hoặc thay đổi nội dung đã tồn tại trong <Directory /var/www/www.example.com/web/protecteddir> </Directory>). Lưu ý rằng lần này chúng ta không cần hai dòng AllowOverride AuthConfig hoặc AllowOverride All nữa bởi không sử dụng tập tin .htaccess. [ ] <Directory /var/www/www.example.com/web/protecteddir> AuthBasicAuthoritative Off AuthUserFile /dev/null AuthMySQL On AuthName "Authentication required" AuthType Basic Auth_MySQL_Host localhost Auth_MySQL_User examplecom_admin Auth_MySQL_Password examplecom_admin_password AuthMySQL_DB examplecomdb AuthMySQL_Password_Table mysql_auth Auth_MySQL_Username_Field username Auth_MySQL_Password_Field passwd Auth_MySQL_Empty_Passwords Off Auth_MySQL_Encryption_Types PHP_MD5 Auth_MySQL_Authoritative On require valid-user </Directory> [ ] Khởi động lại Apache: /etc/init.d/apache2 reload Các link tham khảo  Apache: http://httpd.apache.org/  Debian: http://www.debian.org/  mod_auth_mysql: http://modauthmysql.sourceforge.net/ . Bảo vệ thư mục web với mod_ auth_ mysql trên Apache2 (Debian Squeeze) Đối với các nhà lập trình web, việc đặt mật khẩu để bảo vệ cho những thư mục web. đặt MySQL, mod_ auth_ mysql Để cài đặt MySQL và mod_ auth_ mysql, chúng ta chạy lệnh: apt-get install mysql- server mysql- client libapache2- mod- auth- mysql