Как ограничить доступ к админке?

Question

[Евгений Матвеев]

Есть админка - панель управления PowerMTA
доступна скажем по порту : dimain.ru:5555
в админке есть доступ к файлу конфиг по адресу dimain.ru:5555/editConfig?returnUrl=/

Поставить запрет внешнего доступа можно только через указания доступа конкретного ip
в нашем случае используется для доступа динамический ip адрес

какие способы есть закрыть на пароль доступ к конфигу или всей панеле.

на порт пароль не поставишь, читал только ограничение по ip

Answer 1

[Павел]

htpasswd
Также IP врятле прям совсем динамический, скорее всего меняется последние цифры, поэтому можно ограничить доступ для под сети.

Comments

[Евгений Матвеев]

мегафон модем с тел раздает, хз он там со временем наверно всю сетку моего региона перебирает.

Может программы какие слышали?

[Евгений Матвеев]

.htpasswd - этот имееш ввиду?
с .htpasse -чет я пробовал безтолку, или может не правильно что то сделал

[Павел]

Евгений Матвеев, да, через htpasswd, логин и пароль, инструкций как сделать полно

[Евгений Матвеев]

вот у меня .htpasse
AuthType Basic
AuthName "WellCome"
AuthUserFile "/etc/pmta/.htpasswd"
Require valid-user

[Евгений Матвеев]

я так понял что такая техника закроет директории и файлы а доступ по порту нет.

[Евгений Матвеев]

а еще если у меня файл конфига - тип файла файл :)))

[Борис Сёмов]

Евгений Матвеев,

вот у меня .htpasse

это должно быть добавлено в .htaccess в корне панельки, или в конфиг виртуального хоста соответствующего, а не в какой-то .htpasse

Answer 2

[Борис Сёмов]

Какой веб сервер используется?

Если apache, и при этом включена обработка .htaccess, то в .htaccess надо добавить:

AuthType Basic
AuthName "WellCome"
AuthUserFile "/etc/pmta/.htpasswd"
Require valid-user

*пути взяты из коментов к другому ответу, и возможно стоит выбрать другие.

Если не включена, то добавить это же, но в конфиг соответствующего виртуального хоста.

При этом в файле /etc/pmta/.htpasswd должны быть прописаны пользователи, и хеши их паролей.

Если nginx, то https://nginx.org/ru/docs/http/ngx_http_auth_basic... там почти также.
Если какой-то другой, то читать его документацию.

Если это вообще отдельное приложение, можно nginx или даже apache перед ним воткнуть как reverse-proxy, прямиой доступ закрыть конфигурацией приложения, или фаерволом, а авторизацию делать на уровне проокси, как написано выше.

Comments

[Евгений Матвеев]

да и так у меня .htaccess, в корне панельки /etc/pmta/
и такой код ложил в корне сайта - работает
AuthType Basic
AuthName "WellCome"
AuthUserFile "/etc/pmta/.htpasswd"
Require valid-user

а по порту :1001 - нет
отработку htassed включил.
Может путь тут /etc/pmta/.htpasswd не верный, это с рут а абсолютный может другой?
Как его определить? Делал файл индекс < ?php echo $_SERVER['DOCUMENT_ROOT']; ? >
как его вызвать из этой папки?

[Борис Сёмов]

Может путь тут /etc/pmta/.htpasswd

Это всего лишь путь, который прописан в .htaccess. Можно прописать любой, по большому счёту, и положить туда нужный файл с пользователями и хешами паролей.

Но проблема, скорее всего в том, что у вас какое-то самостоятельно работающее не через ваш апач приложение. Собственно, выводnetstat -ntpl или ss -ntpl, может это прояснить.

[Евгений Матвеев]

netstat -ntpl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1001 0.0.0.0:* LISTEN 812/pmtahttpd
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 716/mysqld
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 899/master
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 744/dovecot
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 744/dovecot
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 6079/httpd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 577/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 899/master
tcp 0 0 0.0.0.0:2525 0.0.0.0:* LISTEN 762/pmtad
tcp 0 0 :::22 :::* LISTEN 577/sshd

ss -ntpl
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 0 *:1001 *:* users:(("pmtahttpd",812,11))
LISTEN 0 0 *:3306 *:* users:(("mysqld",716,10))
LISTEN 0 0 *:587 *:* users:(("master",899,85))
LISTEN 0 0 *:110 *:* users:(("dovecot",744,18))
LISTEN 0 0 *:143 *:* users:(("dovecot",744,20),("imap-login",6042,7))
LISTEN 0 0 *:80 *:* users:(("httpd",6079,3),("httpd",6081,3),("httpd",6082,3),("httpd",6083,3),("httpd",6084,3),("httpd",6085,3),("httpd",6086,3),("httpd",6087,3),("httpd",6088,3))
LISTEN 0 0 *:22 *:* users:(("sshd",577,3))
LISTEN 0 0 *:25 *:* users:(("master",899,12),("smtpd",5941,6),("smtpd",6024,6))
LISTEN 0 0 *:2525 *:* users:(("pmtad",762,37))
LISTEN 0 0 :::22 :::* users:(("sshd",577,4))

[Евгений Матвеев]

LISTEN 0 0 *:1001 *:* users:(("pmtahttpd",812,11))
вот мне надо из вне запретить ходить сюда просто так без пароля
-----

[Борис Сёмов]

tcp 0 0 0.0.0.0:1001 0.0.0.0:* LISTEN 812/pmtahttpd

Ну вот, так и есть - это отдельное приложение. Дальше надо читать доку. И либо повесить приложение на 127.0.0.1, либо разрешить только с 127.0.0.1 подключаться, либо закрыть 1001 фаерволом(если не перевешивать на локальный интерфейс в любом случае стоит закрыть).
А далее, создать vhost для этог приложения в апаче, например, на поддомене каком-нибудь, и проксировать запросы к 127.0.0.1:1001, заодно добавив авторизацию. https://httpd.apache.org/docs/current/howto/revers...

[Евгений Матвеев]

смутно понял идею, не делал не разу, лиха беда началом.
С новым годом

[Евгений Матвеев]

примеров нет на памяти не каких?
порт я кстати любой свободный могу поставить..

[Борис Сёмов]

Попробую немного проще описать. У приложения нет возможности авторизации, значит между ним и клиентом мы втыкаем http прокси, который авторизацию умеет. Клиент обращается к нему(например через https://pm.example.com), приходит авторизацию, и если она успешна, наш прокси отправляет тот же запрос дальше(http://127.0.0.1:1001), а ответ приложения возвращает клиенту. А если нет, показывает сообщение об ошибке.
Ну а попасть напрямую по ip:1001, мы запрещаем фаерволом, или настройками приложения.

Как реализуется именно проксирование в случае апача есть в документации по ссылке выше.

[Борис Сёмов]

Евгений Матвеев, Готового примера нет - я не использую apache как reverse proxy. =)

[Евгений Матвеев]

ок, спс я почитаю, потыркаю. Почему то изначально думал будет все попроще.