Где разместить файлы паролей для apache?

Question

Поскольку я развертываю приложения сегодня, я спросил себя, что было бы лучшим способом хранения файлов Apache Password.

Например:

• У меня есть несколько vhosts на основе ServerName, каждый из которых объявлен в отдельных файлах в /etc/apache/sites-available
• Некоторые из этих vhosts защищены паролем с помощьюутилита htpasswd.
• У нескольких хостов нет общих учетных записей.Это означает, что у каждого vhosts есть свой собственный файл паролей.
• Каждый из этих веб-сайтов развернут: /var/www/projectname
• Поскольку эти приложения созданы с помощью непрерывной интеграции, файлы паролей нельзя помещать в папку проекта.Они будут удалены при следующем развертывании.

Куда тогда поместить эти файлы?

Answer 1

Во-первых, apache basic-auth - это мусор, и его следует избегать. В любом случае, если у вас есть аутентификация, убедитесь, что она через https, иначе она абсолютно бесполезна. (И ДА , Аутентификация SO полностью и абсолютно бесполезна, поскольку она не превышает https .)

Если вы должны использовать аутентификацию apache, используйте AuthDigestFile и сохраните файл вне корня документа. Убедитесь, что ваше веб-приложение не имеет доступа для чтения.