Schutz von Inhalten unter Linux: Passwortschutz mit Nginx

In der heutigen digitalen Welt ist Sicherheit wahrscheinlich das Wichtigste. Es gibt viele Online-Risiken, die sowohl große Unternehmen als auch normale Benutzer betreffen können. Sicherheitslücken können schwerwiegende Folgen haben, wenn es um Unternehmen und ihre sensiblen Informationen geht. In diesem Artikel werden wir alles besprechen, was mit dem Passwortschutz in Nginx zu tun hat.

Nginx ist eine äußerst beliebte Server-Software, die für Caching, Reverse-Proxy und Lastverteilung verwendet werden kann. Dieser Webserver ist eine großartige Variante für robuste Sicherheit, aber es gibt noch einige weitere Ansätze, um das System noch besser zu schützen. So kann man beispielsweise eine Basisauthentifizierung einrichten.

Wir werden die grundlegenden Ansätze für den Passwortschutz mit Nginx besprechen und uns insbesondere mit der Erstellung einer Passwortdatei, der Installation von Apache Utils und der Konfiguration des Serverblocks befassen. Außerdem erhalten Sie weitere zusätzliche Empfehlungen, also lass uns in den Prozess eintauchen.

Einrichtung der grundlegenden Benutzerauthentifizierung

Vor der Besprechung der Authentifizierungseinrichtung sollten Sie Folgendes haben:

• Einen Nginx-Server. Überprüfen Sie, ob Nginx ordnungsgemäß auf dem Server installiert ist und funktioniert. Falls Sie diese Software nicht auf dem Server haben, können Sie sie einfach installieren, indem Sie der üblichen Anleitung im Nginx-Dokument folgen.
  
• Grundkenntnisse über Nginx. Es wird empfohlen, die Grundlagen von Direktiven, Serverblöcken und allgemein der Nginx-Konfiguration genau zu verstehen.

Um die Inhalte auf Ihrem Nginx-Server zu schützen, sollten Sie mit der Einrichtung der Authentifizierung beginnen. Dieser Prozess umfasst mehrere Schritte, wie die Erstellung einer Passwortdatei, die Installation von Apache Utils und die Konfiguration des Serverblocks.

Wir empfehlen dringend, einige Online-Kurse zu besuchen, um die grundlegenden Fähigkeiten in diesem Prozess zu erlernen. Wenn Sie etwas Zeit in die Zertifizierung investieren, können Sie ein guter Experte auf diesem Gebiet werden. In der Zwischenzeit finden Sie hier einige wichtige Schritte für eine ordnungsgemäße Passwortverwaltung.

Installation von Apache Utilities für die Passwortverwaltung

Zunächst müssen Sie herausfinden, ob alle erforderlichen Tools bereits auf Ihrem Server installiert sind. Apache Utilities werden für die Generierung der Passwort-Hashes benötigt.

Zu Beginn sollten Sie den Paketmanager des Systems mit dem folgenden Befehl aktualisieren:

sudo apt update

Nach der Aktualisierung starte die Installation von Apache Utils mit der nächsten Zeile:

sudo apt install apache2-utils

Der Installationsvorgang besteht aus einem einzigen Befehl und das erforderliche Tool ist auf Ihrem Nginx-Server einsatzbereit.

Erstellung einer Passwortdatei

Die Passwortdatei wird für die Speicherung der Anmeldedaten für die Authentifizierung benötigt. Das Dienstprogramm htpasswd wird für die Generierung des Passwort-Hash verwendet. Verwende die folgende Zeile, um die aktuelle Datei zu aktualisieren oder eine neue zu erstellen:

sudo htpasswd -c /.././…/.. name

Im oben genannten Befehl sollten Sie c /.././…/.. durch die tatsächliche Information ersetzen, an dem Sie die Datei speichern möchten, und der Name sollte durch den erforderlichen Benutzernamen ersetzt werden.

Danach musst du das Passwort eingeben/bestätigen. Anschließend generiert das Dienstprogramm den Passwort-Hash und fügt ihn der Datei hinzu.

Wenn Sie die aktuelle Datei nicht neu erstellen, sondern aktualisieren, sollten Sie die Option -c ausschließen. 

Nginx-Serverblock-Konfiguration für die Authentifizierung

Nachdem wir die Dateierstellung abgeschlossen haben, können wir mit der Konfiguration für die Authentifizierung fortfahren. Um diesen Prozess zu starten, müssen Sie die Nginx-Konfigurationsdatei wie folgt in den Editor eingeben:

sudo nano /etc/nginx/nginx.conf

In der Datei sollten Sie den Serverblock finden, der sich in dem Webverzeichnis befindet, das Sie schützen möchten. In der Regel befindet sich dieser Block im Serverteil { ... }. Füge in diesem Abschnitt die nächste Eigenschaft hinzu:

location / {
auth_basic „Restricted Access“;
auth_basic_user_file /.././…/..;
}

Dieser Abschnitt - /.././…/.. sollte durch den tatsächlichen Pfad zur Dateierstellung ersetzt werden, den wir ebenfalls in diesem Artikel besprochen haben. Wenn Sie alle Details ordnungsgemäß eingegeben haben, wird den Benutzern eine Authentifizierung angezeigt, bei der Sie ihre Anmeldedaten eingeben müssen.

Damit die Änderungen gespeichert werden, beenden Sie den Editor und klicken auf „Speichern“. Anschließend starten Sie Nginx mit folgendem Befehl neu:

sudo service nginx restart

Der letzte wichtige Schritt, den Sie sich merken sollten, ist, zu testen, ob alles richtig funktioniert, indem Sie die Website aufrufen und den Benutzernamen sowie das Passwort eingeben.

Erweiterte Authentifizierung Optionen

Die Verwendung der grundlegenden Authentifizierungspraxis ist bereits aus Schutzgründen von Vorteil. Sie können jedoch mit den erweiterten Optionen weitere Ebenen hinzufügen. Die erweiterten Varianten für die Authentifizierung gelten als flexibler und die gängigsten sind die Integration externer Authentifizierungssysteme und die Implementierung einer benutzerdefinierten Anmelden-Schnittstelle. 

Implementierung einer benutzerdefinierten Anmelden Schnittstelle

Die Implementierung einer benutzerdefinierten Anmelden-Schnittstelle ist eine großartige Option, mit deren Hilfe Sie eine benutzerfreundliche Erfahrung schaffen können, indem Sie Ihre Benutzer auf die Anmeldeseite mit Ihrem Branding weiterleiten. Der Prozess ist fast derselbe wie bei der Standardauthentifizierung, die Benutzer sollten ihre Anmeldedaten/ihr Passwort validieren.

Um diesen Prozess zu starten, müssen Sie ein benutzerdefiniertes HTML-Anmeldeformular erstellen und anschließend die Datei dhdh.html (anstelle dieser Datei müssen Sie die gültigen HTML-Anmeldedatei ausfüllen) im erforderlichen Verzeichnis speichern. Der nächste Schritt ist die Aktualisierung der Nginx-Konfiguration durch Hinzufügen der folgenden Zeilen:

location / {th
error_page 401 =200 /​dhdh.html;
auth_request /auth;
auth_request_set $auth_status $upstream_status;
error_page 403 =200 /​dhdh.html;
}
location = /auth {
internal;
proxy_pass http://localhost:8000/auth; # Wechseln Sie zum Endpunkt des Authentifizierungsskripts
proxy_pass_request_body off;
proxy_set_header Content-Length „“;
proxy_set_header X-Original-URI $request_uri;
}

Das Authentifizierungsskript kann in jeder beliebigen Programmiersprache Ihrer Wahl geschrieben werden, einschließlich Python und PHP. Es sollte die Anmeldedaten überprüfen und 200 anzeigen, wenn die Anmeldedaten autorisiert sind, und 401, wenn sie nicht autorisiert sind. Testen Sie, ob das Verzeichnis im Web Browser zugänglich ist.

Integration eines<H2> externen Authentifizierungssystems

Wenn Sie bereits über einen externen Authentifizierungsserver verfügen, können Sie diesen problemlos in Nginx integrieren. Dieser Ansatz ist für die zentralisierte Authentifizierung und Benutzerverwaltung äußerst hilfreich. Durch die Verwendung dieser Systemintegration wird die Skalierung über mehrere Apps hinweg erheblich vereinfacht.

Rufen Sie die Einstellungen von Nginx auf und konfigurieren Sie es als Reverse-Proxy, damit die Authentifizierungsanfragen an den externen Server weitergeleitet werden. Danach muss die Nginx-Konfiguration aktualisiert werden, indem der Serverblock wie unten angegeben geändert wird:

location / {
proxy_pass http://sdf;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Original-URI $request_uri;
}

Ersetzen Sie http://sdf diese Adresse durch die tatsächliche externe Server-URL. Der externe Server sollte entsprechend konfiguriert sein, um eingehende Anfragen zu verarbeiten, Passwörter/Login zu überprüfen und die richtigen Antworten zu finden. Testen Sie nach Abschluss des Vorgangs den Zugriff über den Browser. 

Wichtige Überlegungen und bewährte Verfahren

Wenn Sie die oben beschriebenen Strategien und das Testen aller Prozesse abgeschlossen haben, können Sie Ihren Server noch besser schützen. In diesem Teil des Artikels stellen wir Ihnen einige hilfreiche Verfahren vor. Wir werden die wichtigsten Überlegungen ansprechen, die den Schutz der Daten erheblich beeinflussen können, und was noch wichtiger ist: Diese Verfahren sind relativ einfach umzusetzen. 

HTTPS-Aktivierung für sichere Verbindungen

Für zusätzlichen Schutz sensibler Informationen ist es wichtig, Verschlüsselung und TLS/SSL-Zertifikate zu implementieren. Wenn Sie diese Vorgehensweise befolgen, können Sie HTTPS für die sicheren Verbindungen für diejenigen aktivieren, die versuchen, auf geschützte Verzeichnisse zuzugreifen.

Verbesserung der Passwortsicherheit

Um die Sicherheit noch weiter zu verbessern, sollten Sie die Benutzer über die Wahl komplexer Passwörter und das regelmäßige Ändern der Passwörter informieren, um den Schutz zu maximieren. Ein weiterer entscheidender Faktor ist die Sicherheit der Passwort-Datei oder des externen Servers. Stellen Sie sicher, dass es keine unbefugten Zugriffe gibt.

Zugriffsüberwachung und Protokollierung

Die Überwachung der Protokollierungsversuche und die Verfolgung potenzieller Risiken ist äußerst wichtig. Die Zugriffsverfolgung sollte regelmäßig erfolgen, um das bestmögliche Ergebnis und einen besseren Schutz zu erzielen. Es gibt eine Vielzahl automatischer Tools, die diesen Prozess vereinfachen können.

Regelmäßige System-Updates und Patches

Vergessen Sie nicht, die Software zu aktualisieren und regelmäßig anzuwenden, um alle möglichen Sicherheitslücken auszuschließen und die Sicherheit Ihres Servers zu gewährleisten.

Zugriffssteuerung

Um noch mehr Schutz zu bieten, können Sie bestimmte IP-Adressen auf eine Blacklist oder Whitelist setzen, sodass nur bestimmte Benutzer auf das System zugreifen können. Durch diese Vorgehensweise wird das Risiko eines unbefugten Zugriffs noch weiter minimiert und alle Zugriffe werden kontrolliert.

Benutzerschulung zum Thema Sicherheit

Die Sicherheit aller Prozesse ist eng mit dem Bewusstsein für alle Konsequenzen und Risiken verbunden, die mit der Weitergabe Ihrer Anmeldedaten oder dem Nichtreagieren auf verdächtige Aktivitäten verbunden sind. Aus diesem Grund sollten Benutzer angemessen über alle möglichen Sicherheitsbedenken aufgeklärt werden.

Fazit

Wenn Sie die wichtigsten Verfahren befolgen, die wir in diesem Artikel vorgestellt haben, können Sie den Schutz der Inhalte auf Ihrem Linux-Server erheblich verbessern. Der Passwortschutz ist ein entscheidendes Verfahren, und wenn Sie es vernachlässigen, erhöhen Sie die Wahrscheinlichkeit eines unbefugten Zugriffs.