Website Adminbereich sichern (ohne feste ip)

#16 Ich verstehe das Problem nicht was gegen Plesk einzuwenden ist. Man muss sich die Serververwaltung nicht immer unnötig erschweren.
Es gehen keine Sicherheitsrisiken von Plesk aus wenn man solche Zugriffe nur einen beschränkten Benutzerbereich bietet. Was die Ports betrifft muss man eh zusätzlich sehen was offen bleibt und wie dieser Verwendung findet.

Zitat

ein Login über den Webserver ist ein völlig normaler und durchaus legitimer Vorgang.

Ja viele machen das so weil es gängig ist aber wie gesagt bieten bekannte Internetseiten wie Amazon und facebook anderen nicht die Möglichkeit sich von Aussen(gesammmtes Web) an einer Administrationsebene anzumelden (www.facebook.com/admin) Unnötige Risiken kann man ausschließen.

Meine Seite sollte oder wird ein Seitenaufkommen haben das nichts mehr mit normaler Absicherung von einfachen Blogs,Foren oder ähnliches klarkommen wird da die Gefahr eines Fremdeindringens irreparable hoch wird.

Also bitte ich nur um Ratschläge wie ich das am besten umsetzen sollte und nicht ob das überflüssig oder nicht gängig ist.

#17

Zitat

Ich verstehe das Problem nicht was gegen Plesk einzuwenden ist. Man muss sich die Serververwaltung nicht immer unnötig erschweren.
.....

Wer redet von schwierig?

Zitat

Es gehen keine Sicherheitsrisiken von Plesk aus wenn man solche Zugriffe nur einen beschränkten Benutzerbereich bietet.

Ich frag mich wie du darauf kommst?
http://www.heise.de/security/meldung/0-Day-Exploit-fuer-Site-Verwaltungswerkzeug-Plesk-im-Umlauf-1636979.html
Diese News ist schon alt, natürlich wird der Exploit bei neuen Versionen nicht funktionieren - fakt ist aber wenn du mal regelmäßig Nachrichten verfolgst wirst du feststellen das solche Sicherheitslücken über Webpanels theoretisch immer möglich sind.

Zitat

Also bitte ich nur um Ratschläge wie ich das am besten umsetzen sollte und nicht ob das überflüssig oder nicht gängig ist.

Ja ich denke du bist insgesamt nicht qualifiziert dafür, bleib einfach bei htaccess und gut ist -
was Facebook benutzt kann dir ja auch im Grunde egal sein, selbst wenn die ihren eigenen Client programmiert haben oder weiß der Geier was - das ist alles dann sowieso nichts was du realisieren könntest.

Zitat

Meine Seite sollte oder wird ein Seitenaufkommen haben das nichts mehr mit normaler Absicherung von einfachen Blogs,Foren oder ähnliches klarkommen wird da die Gefahr eines Fremdeindringens irreparable hoch wird.

Dann solltest du jemanden engagieren der sich auskennt und nicht in irgendwelchen Foren nach Hilfestellung fragen denn man wird dir die Informatik nicht mal kurz in 10min erklären können - deine Anfangsaussage:

Zitat

Ich verstehe das Problem nicht was gegen Plesk einzuwenden ist.

zeigt das du nicht qualifziert bist.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#18 Ich kann nochmals sagen gegen Plesk gibt es nichts einzuwenden. Wenn du mene Posts mal genau lesen würdest verstehst du den sinn dahinter. Wenn man gewisse vpns etc nur als Zugriffsberechtigte für Administrationsbereiche zulässt dann zweifel ich schwer daran das ein solcher Hack ausführbar ist.

Gleichzeitig habe ich jetzt die Lösung mitgeteilt die ich gesucht habe.

VPN

Installation von openvpn auf dem Server
Einrichtung einer openvpn-Verbindung zwischen dem gewünschten Client und dem Server (die genaue Beschreibung würde hier zu weit führen, siehe die einschlägige Literatur dazu)
Nicht vergessen, den VPN-Port auf einen anderen Port zu legen. Das ist zwar nicht im eigentlichen Sinn sicherer, man bekommt aber nicht so viele Angriffsversuche auf das VPN
Nehmen wir fürs Weitere einmal an, der Server hat über openvpn die IP 10.1.1.1, der Client die 10.1.1.2
Danach die Firewall verändern, über VPN alle Ports zulassen:
/sbin/iptables -A INPUT -p udp -s 10.1.1.2 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 10.1.1.2 -j ACCEPT
Danach die Ports 8880 und 8443 für jeden Zugriff außer von 10.1.1.2 aus sperren
Falls Plesk SSO installiert ist, die Anmeldedomäne auf "10.1.1.1" umändern, und die Ports 11443 und 11444 ebenfalls in der Firewall von außen sperren, und nur vom VPN aus erlauben

Nun ist das Plesk Panel nur noch wiefolgt erreichbar:

Verbinden mit dem Server mit VPN
Danach im Browser 10.1.1.1:8880 eingeben
Hinweis: Weil die Verbindung ja schon verschlüsselt ist, braucht man nicht auf Port 8443 (SSL) gehen. Das ist wesentlich schneller, und genauso sicher.
Nach Schließen des Browsers wieder vom VPN trennen


Das ganze auch mit sämmtlichen anderen Adminseiten machen und da währe die Lösung !

Wenn Plesk nur innerhalb des Servers aufrufbar ist ist es auch kein Sicherheitsproblem.

#19

Zitat

Ich kann nochmals sagen gegen Plesk gibt es nichts einzuwenden. Wenn du mene Posts mal genau lesen würdest verstehst du den sinn dahinter.

Habe ich getan (siehe unten).

Zitat

Das ganze auch mit sämmtlichen anderen Adminseiten machen und da währe die Lösung !
Wenn Plesk nur innerhalb des Servers aufrufbar ist ist es auch kein Sicherheitsproblem.

Ja das gilt dann wohl für alle möglichen Webseitigen Anwendungen, wenn diese eben nicht mehr im Internet stehen - ergibt sich keine Angriffssituation mehr.
Aber wenn deine VPN Verbindung mal nicht mehr so funktioniert, wirst du verstehen warum das nicht die wahre Lösung sein kann.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#20 ohne vpn gibts ja noch ssh solange das geht bekommt man alles hin

#21

Zitat

DaMax postete
ohne vpn gibts ja noch ssh solange das geht bekommt man alles hin

Ach jetzt doch? Na dann bist du doch wieder bei der Sicherheitsfrage, in dem Fall gilt wieder mein Post:
http://board.protecus.de/t42637.htm#359542

Somit hat sich der Kreis geschloßen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#22 ok ich melde mich mal wieder
ich habe jetzt einen vpn eingerichtet und das Plesk Panel von außen gesperrt.
innerhalb des vpns habe ich auch weiterhin Zugriff.

Jetzt bräuchte ich noch Hilfe beim Blockieren eines Adminbereiches.
Also auf meiner domain.com/admin befindet sich ein weiteres Adminpanel für die Webseitenverwaltung selber.
das /admin nicht mehr erreichbar ist habe ich eine .htaccess erstellt nur ich kann bei der Ausnahme nicht eine feste ip einfügen sondern nur eine vpn ip etc damit ich den Seitenpfad noch über vpn aufrufbar machen kann.

Meine Frage ist jetzt wie ich das so einstellen kann das ich auf den Pfad /admin über den vpn zugreifen kann.

Ich hoffe man kann mir bei meinem letztem Problem weiterhelfen.

#23 Hallo,

Zitat

DaMax postete
das /admin nicht mehr erreichbar ist habe ich eine .htaccess erstellt

Das sollte doch reichen, oder nicht?

Zitat

DaMax postete
nur ich kann bei der Ausnahme nicht eine feste ip einfügen sondern nur eine vpn ip etc damit ich den Seitenpfad noch über vpn aufrufbar machen kann.

Zitat

DaMax postete
Meine Frage ist jetzt wie ich das so einstellen kann das ich auf den Pfad /admin über den vpn zugreifen kann.

Ich hoffe man kann mir bei meinem letztem Problem weiterhelfen.

Das hast du doch gerade im oberen Quote selber beantwortet, oder nicht? Du bekommst doch durch das VPN eine IP aus einem definierten IP Bereich, den du beim Konfigurieren des VPNs doch selber eingegeben hast. Diesen Bereich sollte man doch über .htacces freischalten können, oder nicht?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#24 ich komme nur per interner vpn ip auf eine vpn seite da steht dann halt works ! und da könnte ich intern noch ne seite machen aber ich möchte bei einer meiner domains auf einen bestimmten pfad /admin.
ich komme nur auf die pleskseite wenn ich die vpn ip und den port dazu eingebe.

Die Webseite mit dem /adminbereich hab ich jetzt erst mal nur auf Zugangsrechte für die Vpn Ip eingestellt aber so verbindet er mich ja nicht damit. Ich muss ja irgendwas im Browser eingeben das der mich intern zu der Domain mit dem Pfad verbindet.

Wie ich jetzt an die Seite ran komme ist mir noch nicht ganz klar.
Ich hoffe man kann mir helfen

#25 Da kannst du z.B. in der apache Konfiguration den Standardpfad auf den entsprechenden vHost umlenken.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#26

Zitat

Da kannst du z.B. in der apache Konfiguration den Standardpfad auf den entsprechenden vHost umlenken.

Andersrum, aber eigentlich hat man die vhost Konfigurationen eh immer seperat unabhängig vom Standardpfad.
Jaja mit der Shell geht sowas...
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#27 ich verstehe es noch nicht so ganz da ich auch keine anleitungen im internet darüber finde. wenn ich den pfad des Standard webverzeichnisses des vpns auf die existierende umleite kann ich aber wahrscheinlich nur die seite in diesem pfad mit ssl öffnen aber ich habe mehrere seiten die ich nur über vpn aufrufen möchte. sprich 1.domain.com/admin , 1.domain.com/crawlprotect, 2.domain.com/admin .... so in etwa

#28

Zitat

ich verstehe es noch nicht so ganz da ich auch keine anleitungen im internet darüber finde.

Nein? Komisch 1. Treffer bei Google: http://httpd.apache.org/docs/2.2/de/vhosts/
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#29 Leider funktioniert dies nicht.
Hier dies habe ich in der vhost conf erweitert:

<VirtualHost 10.8.0.1:81>
ServerName MEINEDOMAIN.com
DocumentRoot var/www/vhosts/MEINEDOMAIN.com/httpdocs/admin
</VirtualHost>

Dabei bekomme ich nach Aktulisierung der Einstellung diesen Fehler:

Syntax error on line 15 of /var/www/vhosts/DOMAIN.com/conf/vhost.conf:
<VirtualHost> cannot occur within <VirtualHost> section

Execution failed.
Command: httpdmng
Arguments: Array
(