Как организовать безопасность админки?

Question

[Александр]

Есть самописная ПУ на PHP, используется по сути на одном ПК. Стал замечать, что предприимчивые граждане пытаются ее брутить, инжектить и т.д.
Временно закрыл ее через htaccess на доступ по 1 IP, проблема только в том, что IP у меня динамический, а купить статический не позволяет оператор связи...
Знаю, что есть некие сертификаты которые ставятся на ПК, а сайт проверяет этот сертификат - вопрос как реализовать? Сколько стоит? Спасибо.

Answer 1

[Владимир Куц]

Если для себя - сделайте самоподписанный сертификат, импортируйте его к себе в броузер, и в настройках вашего веб-сервера требуйте его при соединении.

Comments

[Александр]

Не могли бы немного подробнее рассказать? Или линки на примеры?

[Sanes]

Например?

[Владимир Куц]

Александр: Документация апача к примеру - https://httpd.apache.org/docs/current/ssl/ssl_howt...

[Владимир Куц]

Александр: nginx - https://habrahabr.ru/post/213741/

Answer 2

[xmoonlight]

Открою тайну: через .htaccess можно прописывать октеты и подсети!
Вы можете прописать (точка в конце - ОБЯЗАТЕЛЬНА!): xxx.xxx.xxx.
или xxx.xxx.xxx.0/24 и т.д.
И таким образом разрешить доступ только для своей подсети.

И вопрос: откуда "предприимчивые граждане" знают ссылку к Вашей админке?)

Comments

[Александр]

что сложного? Практически у любой CMS /admin

[Sanes]

Александр: У нормальной CMS можно переименовать

Answer 3

[Александр Аксентьев]

Есть самописная ПУ на PHP, используется по сути на одном ПК.

IP у меня динамический,

Зачем её в интернет-то выкладывать? Да так сильно что аж боты её нашли и пытаются формы отправлять.

Comments

[Александр]

Сайт стоит на VPS, я говорю про админов у которых IP динамический.

[Александр Аксентьев]

Александр: Я понял, так вопрос в том если один юзер - зачем в интернет ставить, а не локально?

вы же написали используется на одном ПК, а теперь уже много админов?)

Поставьте нормальный пароли и забейте на брутфорс, что он вам сделает? Будет 150 лет подбирать пароль 10-15 значный?

Answer 4

[Mouvdy]

Просто переименуйте папку админки либо сам файл admin.php на admin558xYttwz.php

Answer 5

[athacker]

Сертификат для аутентификации -- это уже в район IPsec надо копать, а это очень непростая технология. В вашем случае можно перевесить админку на отдельный нестандартный хостнейм и нестандартный порт. Можно файрволом ограничить доступ, только не для одного IP, а можно для всей сети вашего провайдера, если уверены, что будете в эту админку лазить только из дома.

Если уверены, что админка 100%, и могут сломать даже не зная пароля -- поднимайте VPN до сервера с сайтом и делается админку доступной только через VPN.

Comments

[Александр]

В общем насколько понимаю, ничего круче логин/пароль еще не придумали...)

[athacker]

Александр: Это не так. Логин и пароль не будут являться защитой, если в вашей админке есть дыры, которые позволяют туда пролезть и без ввода логина и пароля.

Есть ещё вариант -- помимо перевешивания на нестандартный порт админки можно использовать системы типа port knocking.

Answer 6

[CityCat4]

Вы имеете в виду аутентификацию по сертификату? Выпустите себе сертификат на сервер, сертификат на клиента, и требуйте при соединении сертификат именно от Вашего УЦ. Запрос клиентского сертфииката выдается до начала любого обмена, в процессе установления защищенного соединения. Все брутеры-инжектеры будут отваливаться, как дохлые тараканы :)

Answer 7

[Рустембек Калиев]

Блокируйте по IP, запись в базу айпи каждого посетителя, если часто заходит, допустим три раза в минуту, то блочим.