1. livote - 17 Сентября, 2014 - 07:24:29 - перейти к сообщению
Есть ли у кого хороший скрипт защиты админки на сайте, ну или рабочие идеи?
2. Tyoma5891 - 17 Сентября, 2014 - 09:21:54 - перейти к сообщению
livote пишет:
Есть ли у кого хороший скрипт защиты админки на сайте, ну или рабочие идеи?
Вам староиндийская подойдет или может быть Каро-Канн?
3. nkl - 17 Сентября, 2014 - 09:52:19 - перейти к сообщению
livote пишет:
Есть ли у кого хороший скрипт защиты админки на сайте, ну или рабочие идеи?
Я применяю 2 уровня, сначала урл админки защищаю при помощи basic http authentication, а потом уже и сам скрипт просит авторизоваться.
4. dcc0 - 17 Сентября, 2014 - 10:32:37 - перейти к сообщению
Если нет разграничения прав, т.е. админ один, то:
защита средствами сервера всей директории - htpasswd. для Apache надо настраивать указанный файл и htaccess. Для Lighttpd тоже есть, но чуток по другому. + Ограничение доступа по ip.
защита средствами сервера всей директории - htpasswd. для Apache надо настраивать указанный файл и htaccess. Для Lighttpd тоже есть, но чуток по другому. + Ограничение доступа по ip.
5. RickMan - 17 Сентября, 2014 - 10:36:57 - перейти к сообщению
И вы это считаете нормальной защитой? И как вы предлагаете ее защищать от брута? И вообще как можно найти "Скрипт" который вставил в другой скрипт и БАЦ защита появилась... Самая лучшая защита скрипта - это нормальное написание этого же скрипта, а не внедрение непонятно чего... Пишите правильные запросы в БД, фильтруйте данные приходящие из вне, используйте сложные пароли и будет вам счастье...
6. dcc0 - 17 Сентября, 2014 - 10:41:27 - перейти к сообщению
Да, при правильной организации - это нормальная защита.
Если не нравится, делаем вход в директорию админа только с 127.0.0.1 и ходим по ssh =).
Если не нравится, делаем вход в директорию админа только с 127.0.0.1 и ходим по ssh =).
7. RickMan - 17 Сентября, 2014 - 10:55:49 - перейти к сообщению
Тоесть сайт может быть дырявый, но на админке стоит http authentification и это нормально? И пофигу что шелл закинуть могут и ваша http authentification до одного места будет. Да и проверка по ip тоже не самое надежное дело. С каки пор можно доверять пришедшему ip адресу?
8. Мелкий - 17 Сентября, 2014 - 10:58:49 - перейти к сообщению
RickMan пишет:
С каки пор можно доверять пришедшему ip адресу?
Потому что подделать его в рамках TCP-соединения невозможно. Вы без проблем можете отправить сколько угодно SYN с чужими IP, но ASK вы не получите. Без ASK не будет соединения, без соединения ничего нельзя сделать на более высоких уровнях OSI.
9. RickMan - 17 Сентября, 2014 - 11:12:15 - перейти к сообщению
Ну ок... толку с этой авторизации если сайт дырявый и я смогу спокойно загрузить шелл или sql-inj... Поможет эта авторизация?
10. dcc0 - 17 Сентября, 2014 - 11:19:06 - перейти к сообщению
Если сайт не в чужом дата-центре (что я вообще не рассматриваю), сайт на отдельном железе, перед ним управляемый маршрутизатор с настроенными руками iptables и соответствующими ограничениями. Собственно, если вход в админку из локальной сети, то защиты с ограничением по ip и htpasswd достаточно более чем, особенно если вход разрешен только с локальных ip.
Нужен доступ к сайту из вне? Есть ssh, vpn. Можно организовать вход на машину десятками разных способов. Конечно, и к ssh2 можно пару месяцев сидеть и подбирать пароль. Т.е. все равно страшно? Делаете запуск sshd вначале рабочего дня по крону, к концу рабочего дня отключаете. Опять ночные кошмары? Меняете пароль раз в неделю.
Вопрос только в том, если на сервере *nix (иное не рассматриваю), для управления сайтом понадобится xserver и DE, но слава богу есть легковесные менеджеры, то же xfce desktop легко настривается, подгружается/выгружается по необходимости, чтобы не отъедать ресурсы.
Как уже тут на форуме хорошо сказали: "А можно проще? Можно... но зачем нам такие сложности?".
P.S. "Открытые" системы при правильном подходе к защите вообще не нуждаются в дополнительных скриптах, изначально ориентация на конфигурацию системы для работы в сети. Неважно, что на нем крутится, сайт, почтовый сервер или еще что-то.
P.P.S. Любые разговоры о безопасности могут быть только в рамках конкретной системы, с оценкой назначения, масштабов убытков в случае взлома и т.д.
Нужен доступ к сайту из вне? Есть ssh, vpn. Можно организовать вход на машину десятками разных способов. Конечно, и к ssh2 можно пару месяцев сидеть и подбирать пароль. Т.е. все равно страшно? Делаете запуск sshd вначале рабочего дня по крону, к концу рабочего дня отключаете. Опять ночные кошмары? Меняете пароль раз в неделю.
Вопрос только в том, если на сервере *nix (иное не рассматриваю), для управления сайтом понадобится xserver и DE, но слава богу есть легковесные менеджеры, то же xfce desktop легко настривается, подгружается/выгружается по необходимости, чтобы не отъедать ресурсы.
Как уже тут на форуме хорошо сказали: "А можно проще? Можно... но зачем нам такие сложности?".
P.S. "Открытые" системы при правильном подходе к защите вообще не нуждаются в дополнительных скриптах, изначально ориентация на конфигурацию системы для работы в сети. Неважно, что на нем крутится, сайт, почтовый сервер или еще что-то.
P.P.S. Любые разговоры о безопасности могут быть только в рамках конкретной системы, с оценкой назначения, масштабов убытков в случае взлома и т.д.
11. avtor.fox - 17 Сентября, 2014 - 15:42:18 - перейти к сообщению
Чувак просит скрипт ему дать, а вы что, а вы не даёте ему скрипт. Никакого праздника, все реалии парню испортили. Ну и что, что вы ему советы даёте, это всё ничто по сравнению с готовым скриптом: вставил куда надо и вуаля, всё работает. Вы право слово нелюди, так огорчать человека.
12. dcc0 - 17 Сентября, 2014 - 16:40:33 - перейти к сообщению
Средства встроенные в вебсервер, чем ни готовое решение?
13. CoolKid - 17 Сентября, 2014 - 23:55:13 - перейти к сообщению
1. Поместить админку в папку с названием, которое невозможно подобрать например "!__admin_panel__!"
2. создать .htaccess со списком айпи, с которых разрешён доступ в админку
В большинстве случаев этого достаточно.
2. создать .htaccess со списком айпи, с которых разрешён доступ в админку
В большинстве случаев этого достаточно.
14. esterio - 18 Сентября, 2014 - 18:04:57 - перейти к сообщению
CoolKid
заказчик со своими админами сидят на динамическом IP не учтено
вместо apache2 стоит nginx с php_su также ен сработает
поетому не рекомендовал бы такое
dcc0
HTTP авторизация может біть отелючена в сервера (встречал такой хостинг лично). плюс если подключение не SSL, то логин и пароль каждый раз бегают в заголовках запроса в откритом виде и их легко перехватить
RickMan
вопрос задан о защите админкы, а не о шелле или XSS. это уже второй вопрос
заказчик со своими админами сидят на динамическом IP не учтено
вместо apache2 стоит nginx с php_su также ен сработает
поетому не рекомендовал бы такое
dcc0
HTTP авторизация может біть отелючена в сервера (встречал такой хостинг лично). плюс если подключение не SSL, то логин и пароль каждый раз бегают в заголовках запроса в откритом виде и их легко перехватить
RickMan
вопрос задан о защите админкы, а не о шелле или XSS. это уже второй вопрос
15. dcc0 - 18 Сентября, 2014 - 21:57:21 - перейти к сообщению
esterio если речь о стороннем хостинге, то вообще спору нету. Но чаще эта опция все же имеется.