如何在 Nginx 中為 Web 目錄設定密碼保護？

---

在當今的數字環境中，確保 Web 應用程式和敏感資料的安全性至關重要。增強 Web 目錄安全性的有效方法之一是實現密碼保護。透過實施密碼保護，您可以限制對授權使用者的訪問並保護您的機密資訊。

Nginx 是一款流行的 Web 伺服器和反向代理，它提供了強大的功能來保護 Web 目錄。透過設定基本身份驗證，您可以在使用者訪問網站上的特定目錄之前提示他們輸入使用者名稱和密碼。

在本教程中，我們將引導您完成在 Nginx 中為 Web 目錄設定密碼保護的過程。我們將介紹 Apache Utils 的安裝、密碼檔案的建立以及 Nginx 伺服器塊的配置以強制執行密碼身份驗證。此外，我們還將探討一些高階選項，例如 IP 限制和自定義錯誤頁面。

先決條件

在深入探討在 Nginx 中為 Web 目錄設定密碼保護之前，您需要滿足以下幾個先決條件：

• Nginx Web 伺服器− 確保您已在伺服器上安裝並執行 Nginx。如果您尚未安裝 Nginx，可以按照官方 Nginx 文件或作業系統提供的文件進行設定。

• 基本的 Nginx 配置知識− 熟悉基本的 Nginx 配置概念，包括伺服器塊和指令。這將幫助您理解和修改必要的配置檔案以啟用密碼保護。

滿足這些先決條件後，您就可以開始為 Web 目錄設定密碼保護了。

設定基本身份驗證

要在 Nginx 中為 Web 目錄設定密碼保護，您需要設定基本身份驗證。這包括安裝 Apache Utils、建立密碼檔案和配置 Nginx 伺服器塊。

安裝 Apache Utils

在開始之前，讓我們確保已安裝必要的工具。Apache Utils 提供了 htpasswd 實用程式，我們將使用它來生成密碼雜湊。

• 首先更新系統的包管理器−

sudo apt update

• 更新完成後，安裝 Apache Utils 包−

sudo apt install apache2-utils

安裝 Apache Utils 後，我們可以繼續建立密碼檔案。

建立密碼檔案

密碼檔案將儲存用於身份驗證的使用者名稱和密碼組合。我們將使用 htpasswd 實用程式為每個使用者生成密碼雜湊。

• 透過執行以下命令建立新的密碼檔案或更新現有的密碼檔案−

sudo htpasswd -c /path/to/password/file username

將 /path/to/password/file 替換為您要儲存密碼檔案的路徑，並將 username 替換為所需的使用者名稱。

• 系統將提示您輸入並確認使用者的密碼。該實用程式將生成密碼雜湊並將其新增到密碼檔案中。

注意− 如果您要更新現有的密碼檔案，請省略 -c 標記以避免覆蓋檔案。

配置 Nginx 伺服器塊

現在我們已準備好密碼檔案，需要配置 Nginx 伺服器塊以對所需的 Web 目錄啟用基本身份驗證。

• 在文字編輯器中開啟 Nginx 配置檔案−

sudo nano /etc/nginx/nginx.conf

• 找到與您要保護的 Web 目錄對應的伺服器塊。它通常位於 server { ... } 部分內。

• 在伺服器塊內，在 location / { ... } 塊中新增以下指令。

location / {
   auth_basic "Restricted Access";
   auth_basic_user_file /path/to/password/file;
}

將 /path/to/password/file 替換為前面建立的密碼檔案的實際路徑。

auth_basic 指令設定身份驗證域，當提示使用者輸入憑據時，該域將顯示給使用者。您可以隨意自定義域以適合您的應用程式。

• 儲存配置檔案並退出文字編輯器。

• 要應用更改，請重新啟動 Nginx 服務−

sudo service nginx restart

設定基本身份驗證後，Nginx 現在將在使用者訪問受保護的 Web 目錄時提示他們輸入使用者名稱和密碼。請確保透過在 Web 瀏覽器中訪問網站並輸入相應的憑據來測試身份驗證。

高階身份驗證配置

除了基本身份驗證之外，Nginx 還提供了高階身份驗證機制，這些機制可以提供更多靈活性和對 Web 目錄訪問的控制。讓我們探討兩種常用的方法：使用自定義登入表單和與外部身份驗證伺服器整合。

使用自定義登入表單

使用自定義登入表單，您可以透過設計適合您的應用程式品牌的登入頁面來建立更友好的身份驗證體驗。此方法涉及配置 Nginx 將未經授權的使用者重定向到登入表單並驗證其憑據。

• 建立登入頁面− 設計一個 HTML 登入表單，並將其另存為要保護的目錄中的 login.html。

• 更新 Nginx 配置− 修改與受保護目錄對應的伺服器塊，並新增以下指令。

location / {
   error_page 401 =200 /login.html;
   auth_request /auth;
   auth_request_set $auth_status $upstream_status;
   error_page 403 =200 /login.html;
}

location = /auth {
   internal;
   proxy_pass https://:8000/auth;  # Replace with your authentication script endpoint
   proxy_pass_request_body off;
   proxy_set_header Content-Length "";
   proxy_set_header X-Original-URI $request_uri;
}

此配置在 /login.html 設定了自定義登入頁面，並指定了身份驗證指令碼的端點。

• 實現身份驗證指令碼− 使用您選擇的語言（例如 PHP、Python）開發一個處理身份驗證邏輯的指令碼。該指令碼應驗證使用者的憑據並返回適當的響應程式碼（成功為 200，未授權為 401）。

• 測試自定義登入表單− 在 Web 瀏覽器中訪問受保護的目錄。Nginx 將重定向您到自定義登入表單。輸入有效憑據並驗證是否授予訪問許可權。

與外部身份驗證伺服器整合

如果您有現有的身份驗證伺服器，可以將其與 Nginx 整合以處理使用者身份驗證。此方法允許集中式使用者管理和身份驗證，從而更輕鬆地在多個應用程式之間維護和擴充套件身份驗證。

• 將 Nginx 配置為反向代理− 將 Nginx 設定為反向代理，以將身份驗證請求轉發到外部身份驗證伺服器。

• 更新 Nginx 配置− 修改受保護目錄的伺服器塊，並新增以下指令。

location / {
   proxy_pass http://auth-server;
   proxy_set_header Host $host;
   proxy_set_header X-Real-IP $remote_addr;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   proxy_set_header X-Forwarded-Proto $scheme;
   proxy_set_header X-Original-URI $request_uri;
}

將 http://auth-server 替換為您外部身份驗證伺服器的 URL。

• 在伺服器上實現身份驗證邏輯− 配置外部身份驗證伺服器以處理傳入請求、驗證使用者憑據並向 Nginx 返回適當的響應。

• 測試整合− 在 Web 瀏覽器中訪問受保護的目錄。Nginx 將身份驗證請求轉發到外部伺服器。確保伺服器以正確的身份驗證狀態響應並相應地授予訪問許可權。

其他注意事項和最佳實踐

為了確保 Nginx 中受密碼保護的 Web 目錄的有效性和安全性，請考慮以下其他注意事項和最佳實踐−

啟用 HTTPS

確保客戶端和伺服器之間的資料傳輸安全對於保護敏感資訊（包括使用者名稱和密碼）至關重要。透過在您的 Nginx 伺服器上獲取和安裝 SSL/TLS 證書來實現 SSL/TLS 加密。這將啟用 HTTPS 併為訪問受密碼保護目錄的使用者提供安全連線。

保護密碼

為了增強使用者密碼的安全性，鼓勵使用者選擇強壯、唯一的密碼，並考慮實施其他措施，例如密碼複雜性要求和定期密碼過期。此外，請確保儲存使用者憑據的密碼檔案或外部身份驗證伺服器得到充分保護，防止未經授權的訪問。

監控和日誌記錄

實施全面的監控和日誌記錄機制以跟蹤身份驗證嘗試、識別潛在的安全威脅並檢測任何可疑活動。定期檢視訪問日誌和錯誤日誌以識別和調查任何未經授權的訪問嘗試或異常情況。

定期更新和修補

使您的 Nginx 伺服器和相關軟體保持最新狀態，並安裝最新的安全補丁。定期檢查更新並及時應用它們以解決任何安全漏洞，並確保您的伺服器保持安全。

訪問控制

考慮實施額外的訪問控制措施，例如 IP 白名單或黑名單，以進一步限制對受密碼保護目錄的訪問。這有助於防止來自特定 IP 地址或範圍的未授權訪問嘗試。

使用者教育

教育使用者瞭解密碼安全的重要性、共享密碼的風險以及保持登入憑據機密性的意義。推廣良好的密碼習慣，並鼓勵使用者報告任何可疑活動或安全問題。

結論

在 Nginx 中使用密碼保護 Web 目錄是限制對敏感內容或網站區域的訪問的一種寶貴的安全措施。透過遵循本指南中概述的步驟，您可以有效地實施密碼保護並增強 Nginx 伺服器的安全性。