Защита админки

Есть ли у кого хороший скрипт защиты админки на сайте, ну или рабочие идеи?

-----
Не следует бояться зайти за пределы того, что считается возможным – ибо именно там находится успех.

Вам староиндийская подойдет или может быть Каро-Канн?

Я применяю 2 уровня, сначала урл админки защищаю при помощи basic http authentication, а потом уже и сам скрипт просит авторизоваться.

Если нет разграничения прав, т.е. админ один, то:
защита средствами сервера всей директории - htpasswd. для Apache надо настраивать указанный файл и htaccess. Для Lighttpd тоже есть, но чуток по другому. + Ограничение доступа по ip.

(Отредактировано автором: 17 Сентября, 2014 - 10:36:09)

-----
Март 2021. Бросил программирование

И вы это считаете нормальной защитой? И как вы предлагаете ее защищать от брута? И вообще как можно найти "Скрипт" который вставил в другой скрипт и БАЦ защита появилась... Самая лучшая защита скрипта - это нормальное написание этого же скрипта, а не внедрение непонятно чего... Пишите правильные запросы в БД, фильтруйте данные приходящие из вне, используйте сложные пароли и будет вам счастье...

Да, при правильной организации - это нормальная защита.
Если не нравится, делаем вход в директорию админа только с 127.0.0.1 и ходим по ssh =).

(Отредактировано автором: 17 Сентября, 2014 - 10:42:06)

-----
Март 2021. Бросил программирование

Тоесть сайт может быть дырявый, но на админке стоит http authentification и это нормально? И пофигу что шелл закинуть могут и ваша http authentification до одного места будет. Да и проверка по ip тоже не самое надежное дело. С каки пор можно доверять пришедшему ip адресу?

Потому что подделать его в рамках TCP-соединения невозможно. Вы без проблем можете отправить сколько угодно SYN с чужими IP, но ASK вы не получите. Без ASK не будет соединения, без соединения ничего нельзя сделать на более высоких уровнях OSI.

-----
PostgreSQL DBA

Ну ок... толку с этой авторизации если сайт дырявый и я смогу спокойно загрузить шелл или sql-inj... Поможет эта авторизация?

Если сайт не в чужом дата-центре (что я вообще не рассматриваю), сайт на отдельном железе, перед ним управляемый маршрутизатор с настроенными руками iptables и соответствующими ограничениями. Собственно, если вход в админку из локальной сети, то защиты с ограничением по ip и htpasswd достаточно более чем, особенно если вход разрешен только с локальных ip.
Нужен доступ к сайту из вне? Есть ssh, vpn. Можно организовать вход на машину десятками разных способов. Конечно, и к ssh2 можно пару месяцев сидеть и подбирать пароль. Т.е. все равно страшно? Делаете запуск sshd вначале рабочего дня по крону, к концу рабочего дня отключаете. Опять ночные кошмары? Меняете пароль раз в неделю.
Вопрос только в том, если на сервере *nix (иное не рассматриваю), для управления сайтом понадобится xserver и DE, но слава богу есть легковесные менеджеры, то же xfce desktop легко настривается, подгружается/выгружается по необходимости, чтобы не отъедать ресурсы.

Как уже тут на форуме хорошо сказали: "А можно проще? Можно... но зачем нам такие сложности?".

P.S. "Открытые" системы при правильном подходе к защите вообще не нуждаются в дополнительных скриптах, изначально ориентация на конфигурацию системы для работы в сети. Неважно, что на нем крутится, сайт, почтовый сервер или еще что-то.

P.P.S. Любые разговоры о безопасности могут быть только в рамках конкретной системы, с оценкой назначения, масштабов убытков в случае взлома и т.д.

(Отредактировано автором: 17 Сентября, 2014 - 11:44:51)

-----
Март 2021. Бросил программирование

Чувак просит скрипт ему дать, а вы что, а вы не даёте ему скрипт. Никакого праздника, все реалии парню испортили. Ну и что, что вы ему советы даёте, это всё ничто по сравнению с готовым скриптом: вставил куда надо и вуаля, всё работает. Вы право слово нелюди, так огорчать человека.

Средства встроенные в вебсервер, чем ни готовое решение?

-----
Март 2021. Бросил программирование

1. Поместить админку в папку с названием, которое невозможно подобрать например "!__admin_panel__!"
2. создать .htaccess со списком айпи, с которых разрешён доступ в админку

В большинстве случаев этого достаточно.

CoolKid
заказчик со своими админами сидят на динамическом IP не учтено
вместо apache2 стоит nginx с php_su также ен сработает
поетому не рекомендовал бы такое

dcc0
HTTP авторизация может біть отелючена в сервера (встречал такой хостинг лично). плюс если подключение не SSL, то логин и пароль каждый раз бегают в заголовках запроса в откритом виде и их легко перехватить

RickMan
вопрос задан о защите админкы, а не о шелле или XSS. это уже второй вопрос

esterio если речь о стороннем хостинге, то вообще спору нету. Но чаще эта опция все же имеется.

-----
Март 2021. Бросил программирование