Website Adminbereich sichern (ohne feste ip) |
||
---|---|---|
#0
| ||
19.02.2013, 12:53
Member
Themenstarter Beiträge: 14 |
||
|
||
19.02.2013, 13:07
Member
Beiträge: 5291 |
#17
Zitat Ich verstehe das Problem nicht was gegen Plesk einzuwenden ist. Man muss sich die Serververwaltung nicht immer unnötig erschweren.Wer redet von schwierig? Zitat Es gehen keine Sicherheitsrisiken von Plesk aus wenn man solche Zugriffe nur einen beschränkten Benutzerbereich bietet.Ich frag mich wie du darauf kommst? http://www.heise.de/security/meldung/0-Day-Exploit-fuer-Site-Verwaltungswerkzeug-Plesk-im-Umlauf-1636979.html Diese News ist schon alt, natürlich wird der Exploit bei neuen Versionen nicht funktionieren - fakt ist aber wenn du mal regelmäßig Nachrichten verfolgst wirst du feststellen das solche Sicherheitslücken über Webpanels theoretisch immer möglich sind. Zitat Also bitte ich nur um Ratschläge wie ich das am besten umsetzen sollte und nicht ob das überflüssig oder nicht gängig ist.Ja ich denke du bist insgesamt nicht qualifiziert dafür, bleib einfach bei htaccess und gut ist - was Facebook benutzt kann dir ja auch im Grunde egal sein, selbst wenn die ihren eigenen Client programmiert haben oder weiß der Geier was - das ist alles dann sowieso nichts was du realisieren könntest. Zitat Meine Seite sollte oder wird ein Seitenaufkommen haben das nichts mehr mit normaler Absicherung von einfachen Blogs,Foren oder ähnliches klarkommen wird da die Gefahr eines Fremdeindringens irreparable hoch wird.Dann solltest du jemanden engagieren der sich auskennt und nicht in irgendwelchen Foren nach Hilfestellung fragen denn man wird dir die Informatik nicht mal kurz in 10min erklären können - deine Anfangsaussage: Zitat Ich verstehe das Problem nicht was gegen Plesk einzuwenden ist.zeigt das du nicht qualifziert bist. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
19.02.2013, 13:22
Member
Themenstarter Beiträge: 14 |
#18
Ich kann nochmals sagen gegen Plesk gibt es nichts einzuwenden. Wenn du mene Posts mal genau lesen würdest verstehst du den sinn dahinter. Wenn man gewisse vpns etc nur als Zugriffsberechtigte für Administrationsbereiche zulässt dann zweifel ich schwer daran das ein solcher Hack ausführbar ist.
Gleichzeitig habe ich jetzt die Lösung mitgeteilt die ich gesucht habe. VPN Installation von openvpn auf dem Server Einrichtung einer openvpn-Verbindung zwischen dem gewünschten Client und dem Server (die genaue Beschreibung würde hier zu weit führen, siehe die einschlägige Literatur dazu) Nicht vergessen, den VPN-Port auf einen anderen Port zu legen. Das ist zwar nicht im eigentlichen Sinn sicherer, man bekommt aber nicht so viele Angriffsversuche auf das VPN Nehmen wir fürs Weitere einmal an, der Server hat über openvpn die IP 10.1.1.1, der Client die 10.1.1.2 Danach die Firewall verändern, über VPN alle Ports zulassen: /sbin/iptables -A INPUT -p udp -s 10.1.1.2 -j ACCEPT /sbin/iptables -A INPUT -p tcp -s 10.1.1.2 -j ACCEPT Danach die Ports 8880 und 8443 für jeden Zugriff außer von 10.1.1.2 aus sperren Falls Plesk SSO installiert ist, die Anmeldedomäne auf "10.1.1.1" umändern, und die Ports 11443 und 11444 ebenfalls in der Firewall von außen sperren, und nur vom VPN aus erlauben Nun ist das Plesk Panel nur noch wiefolgt erreichbar: Verbinden mit dem Server mit VPN Danach im Browser 10.1.1.1:8880 eingeben Hinweis: Weil die Verbindung ja schon verschlüsselt ist, braucht man nicht auf Port 8443 (SSL) gehen. Das ist wesentlich schneller, und genauso sicher. Nach Schließen des Browsers wieder vom VPN trennen Das ganze auch mit sämmtlichen anderen Adminseiten machen und da währe die Lösung ! Wenn Plesk nur innerhalb des Servers aufrufbar ist ist es auch kein Sicherheitsproblem. |
|
|
||
19.02.2013, 13:29
Member
Beiträge: 5291 |
#19
Zitat Ich kann nochmals sagen gegen Plesk gibt es nichts einzuwenden. Wenn du mene Posts mal genau lesen würdest verstehst du den sinn dahinter.Habe ich getan (siehe unten). Zitat Das ganze auch mit sämmtlichen anderen Adminseiten machen und da währe die Lösung !Ja das gilt dann wohl für alle möglichen Webseitigen Anwendungen, wenn diese eben nicht mehr im Internet stehen - ergibt sich keine Angriffssituation mehr. Aber wenn deine VPN Verbindung mal nicht mehr so funktioniert, wirst du verstehen warum das nicht die wahre Lösung sein kann. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
20.02.2013, 18:00
Member
Themenstarter Beiträge: 14 |
#20
ohne vpn gibts ja noch ssh solange das geht bekommt man alles hin
|
|
|
||
20.02.2013, 18:04
Member
Beiträge: 5291 |
#21
Zitat DaMax posteteAch jetzt doch? Na dann bist du doch wieder bei der Sicherheitsfrage, in dem Fall gilt wieder mein Post: http://board.protecus.de/t42637.htm#359542 Somit hat sich der Kreis geschloßen. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
31.03.2013, 19:19
Member
Themenstarter Beiträge: 14 |
#22
ok ich melde mich mal wieder
ich habe jetzt einen vpn eingerichtet und das Plesk Panel von außen gesperrt. innerhalb des vpns habe ich auch weiterhin Zugriff. Jetzt bräuchte ich noch Hilfe beim Blockieren eines Adminbereiches. Also auf meiner domain.com/admin befindet sich ein weiteres Adminpanel für die Webseitenverwaltung selber. das /admin nicht mehr erreichbar ist habe ich eine .htaccess erstellt nur ich kann bei der Ausnahme nicht eine feste ip einfügen sondern nur eine vpn ip etc damit ich den Seitenpfad noch über vpn aufrufbar machen kann. Meine Frage ist jetzt wie ich das so einstellen kann das ich auf den Pfad /admin über den vpn zugreifen kann. Ich hoffe man kann mir bei meinem letztem Problem weiterhelfen. |
|
|
||
02.04.2013, 23:52
Moderator
Beiträge: 2312 |
#23
Hallo,
Zitat DaMax posteteDas sollte doch reichen, oder nicht? Zitat DaMax postete Zitat DaMax posteteDas hast du doch gerade im oberen Quote selber beantwortet, oder nicht? Du bekommst doch durch das VPN eine IP aus einem definierten IP Bereich, den du beim Konfigurieren des VPNs doch selber eingegeben hast. Diesen Bereich sollte man doch über .htacces freischalten können, oder nicht? __________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
03.04.2013, 17:43
Member
Themenstarter Beiträge: 14 |
#24
ich komme nur per interner vpn ip auf eine vpn seite da steht dann halt works ! und da könnte ich intern noch ne seite machen aber ich möchte bei einer meiner domains auf einen bestimmten pfad /admin.
ich komme nur auf die pleskseite wenn ich die vpn ip und den port dazu eingebe. Die Webseite mit dem /adminbereich hab ich jetzt erst mal nur auf Zugangsrechte für die Vpn Ip eingestellt aber so verbindet er mich ja nicht damit. Ich muss ja irgendwas im Browser eingeben das der mich intern zu der Domain mit dem Pfad verbindet. Wie ich jetzt an die Seite ran komme ist mir noch nicht ganz klar. Ich hoffe man kann mir helfen |
|
|
||
05.04.2013, 13:46
Moderator
Beiträge: 2312 |
#25
Da kannst du z.B. in der apache Konfiguration den Standardpfad auf den entsprechenden vHost umlenken.
__________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
05.04.2013, 13:51
Member
Beiträge: 5291 |
#26
Zitat Da kannst du z.B. in der apache Konfiguration den Standardpfad auf den entsprechenden vHost umlenken.Andersrum, aber eigentlich hat man die vhost Konfigurationen eh immer seperat unabhängig vom Standardpfad. Jaja mit der Shell geht sowas... __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
06.04.2013, 15:37
Member
Themenstarter Beiträge: 14 |
#27
ich verstehe es noch nicht so ganz da ich auch keine anleitungen im internet darüber finde. wenn ich den pfad des Standard webverzeichnisses des vpns auf die existierende umleite kann ich aber wahrscheinlich nur die seite in diesem pfad mit ssl öffnen aber ich habe mehrere seiten die ich nur über vpn aufrufen möchte. sprich 1.domain.com/admin , 1.domain.com/crawlprotect, 2.domain.com/admin .... so in etwa
|
|
|
||
06.04.2013, 18:29
Member
Beiträge: 5291 |
#28
Zitat ich verstehe es noch nicht so ganz da ich auch keine anleitungen im internet darüber finde.Nein? Komisch 1. Treffer bei Google: http://httpd.apache.org/docs/2.2/de/vhosts/ __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
06.04.2013, 22:23
Member
Themenstarter Beiträge: 14 |
#29
Leider funktioniert dies nicht.
Hier dies habe ich in der vhost conf erweitert: <VirtualHost 10.8.0.1:81> ServerName MEINEDOMAIN.com DocumentRoot var/www/vhosts/MEINEDOMAIN.com/httpdocs/admin </VirtualHost> Dabei bekomme ich nach Aktulisierung der Einstellung diesen Fehler: Syntax error on line 15 of /var/www/vhosts/DOMAIN.com/conf/vhost.conf: <VirtualHost> cannot occur within <VirtualHost> section Execution failed. Command: httpdmng Arguments: Array ( |
|
|
||
Es gehen keine Sicherheitsrisiken von Plesk aus wenn man solche Zugriffe nur einen beschränkten Benutzerbereich bietet. Was die Ports betrifft muss man eh zusätzlich sehen was offen bleibt und wie dieser Verwendung findet.
Zitat
Ja viele machen das so weil es gängig ist aber wie gesagt bieten bekannte Internetseiten wie Amazon und facebook anderen nicht die Möglichkeit sich von Aussen(gesammmtes Web) an einer Administrationsebene anzumelden (www.facebook.com/admin) Unnötige Risiken kann man ausschließen.Meine Seite sollte oder wird ein Seitenaufkommen haben das nichts mehr mit normaler Absicherung von einfachen Blogs,Foren oder ähnliches klarkommen wird da die Gefahr eines Fremdeindringens irreparable hoch wird.
Also bitte ich nur um Ratschläge wie ich das am besten umsetzen sollte und nicht ob das überflüssig oder nicht gängig ist.