1 사용자인증이란? #

웹서핑중 간혹 다음과 같이 [네트워크 암호 입력] 창을 만나게 되는 일이 있다. 그리고 사용자 이름 과 암호 를 정확히 입력하지 않는다면 웹페이지를 볼 수 없게 된다.

이러한 사용자인증은 개인 웹페이지를 공개하고 싶지 않거나 운영자나 회원에 따르는 웹페이지 운영에 사용된다. 그리고 이 모든 것이 특정 기술에 의한 것이 아니라 웹서버에서 제공하는 기능 중에 하나로 쉽게 설정 가능하다.

2 사용자인증 설정하기 #

사용자인증 설정은 웹서버에 따라 다르게 설정된다. 따라서 여기서 설정하는 하는 사항들은 일반적으로 가장 많이 사용하는 Apache 웹서버를 기준으로 설정한다.

먼저, 어떻게 인증할지를 설정하는 .htaccess 파일을 만들어야 한다. .htaccess 파일은 디렉토리 단위로 설정하므로 사용자인증을 원하는 디렉토리에 만든다.

.htaccess 파일의 예제

AuthName        "개인 자료실"
AuthType        Basic
AuthUserFile    인증파일명
AuthGroupFile   /dev/null
<Limit GET POST>
require         valid-user
</Limit>

AuthName "개인 자료실"
- 사용자인증 창의 이름으로 위 [네트워크 암호 입력] 창의 영역이름에 해당한다.
AuthType Basic
- 인증 형식을 지정하는 것으로 일반적으로 Basic 으로 한다.
AuthUserFile 인증파일명
- 인증할 사용자ID 와 패스워드를 저장한 파일을 지정한다. 전체 경로를 포함한 파일명을 사용하며 htpasswd 명령으로 파일을 만든다. ( 예: /home/viper/.htpasswd )
AuthGroupFile /dev/null
- 그룹인증에 관한 설정으로 인증확인을 할 경우에 그룹인증 파일을 지정한다.
<Limit GET POST> ~ </Limit>
- 인증에 제한을 설정하는 것으로 GET 방식과 POST 방식의 접근만을 허용한다.
require valid-user
- 인증된 사용자만 접속을 허용한다

인증파일을 만들거나 사용자를 등록할때 htpasswd 명령을 사용한다. 그리고 패스워드를 변경할 때도 사용한다.

인증파일 만들기

$ htpasswd -c .htpasswd admin
New password:
Re-type new password:
Adding password for user admin

사용자 ID 와 패스워드 추가하기

$ htpasswd .htpasswd USER1
New password:
Re-type new password:
Adding password for user USER1

패스워드 바꾸기

$ htpasswd .htpasswd USER1
New password:
Re-type new password:
Updating password for user USER1

웹서버의 설정에 따라 다르겠지만 허술한 경우, 위에서 만든 .htaccess 파일과 .htpasswd 파일을 웹브라우저에서 쉽게 볼 수 있다.

특히 .htpasswd 파일과 같은 경우, 사용자의 ID 와 패스워드가 암호화되었다 하더라도 인터넷에서 구할 수 있는 간단한 크랙 ( Crack ) 도구로 쉽게 알아볼 수 있다.

따라서 보안을 위하여 다음과 같은 것들을 고려해 볼 필요가 있다.

.htpasswd 파일을 다른 파일명으로 저장한다.
- .htaccess 파일과 달리 파일명을 임의로 지정가능하다.
.htpasswd 파일을 다른 디렉토리에 저장한다.
- 일반적으로 관리하기 쉽게 같은 디렉토리에 저장하는 경우가 많다. 따라서 쉽게 찾을 수 있기 때문에 위험하다.
- 예를들어 /home/viper/www 가 홈디렉토리라면 /home/viper/passwd 에 .htpasswd 파일을 저장한다.
  /home/viper/www 이하만 웹으로 볼 수 있으므로 /home/viper/passwd 는 볼 수가 없다.