Website Adminbereich sichern (ohne feste ip)

#1 Servus,

ich benötige dringend Hilfe im absichern meiner Webseite.
Diese Webseite besitzt einen Admin bereich (domain.com/admin/).
Für diese Seite will ich das normal Leute keinen Zugriff haben aber ich schon.
Ich weiß das es per .htaccess möglich ist einer bestimmten IP Adresse Zugang zu gewähren nur leider habe ich keine feste IP und es ist auch vom Provider nicht umsetzbar oder gewollt.
Standard ist auch der Aufruf der Pfade zu Plesk oder zur webmail.domain.com der für jeden ohne Probleme möglich ist.
Diese 2 weiteren Seiten sollten auch keinen Zugriff zum Loginmenü geboten werden.
Meine Webseite ist auf einem Linux Debian 6 mit Plesk. Die Seite läuft über das Sicherheitsnetzwerk Cloudflare und ist unter anderen mit crawlprotect gesichert.
Die Webseite wird einmal eine Besucheranzahl aufweisen bei der mir kein einziger Fehler unterlaufen darf.

Ich hoffe mir kann jemand bei meinem Problem weiterhelfen.

MFG

DaMax

#2 so viele Themen zur Webseiten Sicherheit aber keiner hat Ahnung von einem der wichtigsten Angriffspunkte neben sql injections.
Schade.

#3 Hallo

Zitat

Diese Webseite besitzt einen Admin bereich (domain.com/admin/).
Für diese Seite will ich das normal Leute keinen Zugriff haben aber ich schon.

Da hat doch nur root Zugriff daruf 0der ?
Inwieweit hast du Rechte auf dem Systrem, wenn du root-Rechte hast, könnteste du aj bestimmte Teile des / per chmod nur für root lesbar und schreibbar amchen, der normale user kann dann dort nichts mehr lesen oder gar schreiben.
__________
Mfg
schwedenmann

#4 Der Adminbereich ist doch vermutlich grds. erst einmal selber du Passwortschutz gesichert. Wenn du dann über .htaccess eine zusätzliche Passwortabfrage da reinbastelst, sollte das doch schon eine gewisse Sicherheit bieten, oder?
Wenn es mit der festen IP nicht geht, dann hast du ja quasi nur noch diese Möglichkeit.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5

Zitat

DaMax postete
so viele Themen zur Webseiten Sicherheit aber keiner hat Ahnung von einem der wichtigsten Angriffspunkte neben sql injections.
Schade.

Och Ahnung hab ich sehr viel, leider sind das z.T. Wahrheiten die sowieso niemand hören will da die meistens unbequem sind.
Die Antwort ist simpel, keinen sog. Adminbereich nutzen - das einzige was man bei einem eigenen Rootserver benötigt ist SSH.
Login erfolgt dann über keys die festgelegt sind, darüber hinaus kann man den SSH port via port knocking sichern.
Es sollte niemals ein Webpanel geben bei dem alle Funktionalitäten und jeglicher Zugriff über HTTP veräußert werden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#6 Leider ist es mir nicht möglich ohne Webpanel für die Seiten auszukommen. Die Absicherung des Adminbereichs mit einer zusätzlichen Passwortabfrage über .htaccess ist natürlich eine Möglichkeit. Das schlechte ist wenn jemand mal einfach /admin o.ä. zur Domain hinzufügt das dieser dann merkt das über diesesn Pfad ein Zugriff für den administrativen Bereich möglich ist. Auch wenn es im Grunde sicher ist, ist die Lösung nicht wirklich die beste. Wenn man jetzt auf Facebook o.ä. Seiten geht kommt über den Pfad /admin auch keine Abfragekonsole

#7

Zitat

Leider ist es mir nicht möglich ohne Webpanel für die Seiten auszukommen.

Begründung?

Zitat

Wenn man jetzt auf Facebook o.ä. Seiten geht kommt über den Pfad /admin auch keine Abfragekonsole

Eben wie ich dir erklärt habe, alles eine Frage der Einrichtung/Programmierung/etc.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 Die Panel der Webseite kann ich nicht weglassen da über diese sämmtliche Verwaltungen laufen z.B. Regestrierte Benutzer, Meldungen, Seitenaufrufe, Einkäufe von Personen und deren Transaktionsstatus und einige weitere Dinge wie Ads und co werden darauf verwaltet.
Das wird oder kann auch kaum bei anderen Online-Seiten nür über eine Console laufen sondern dafür ist eine Verwaltungsoberfläche notwendig
Deswegen suche ich nach einer Möglichkeit /admin so zu sichern ohne das z.B. in der Notlösung eine .htaccess Passwort und Benutzerabfrage angezeigt wird

#9

Zitat

Die Panel der Webseite kann ich nicht weglassen da über diese sämmtliche Verwaltungen laufen z.B. Regestrierte Benutzer, Meldungen, Seitenaufrufe, Einkäufe von Personen und deren Transaktionsstatus und einige weitere Dinge wie Ads und co werden darauf verwaltet.
Das wird oder kann auch kaum bei anderen Online-Seiten nür über eine Console laufen sondern dafür ist eine Verwaltungsoberfläche notwendig

Das mag ja sein wenn du von einem Online-Shop redest, du hast halt von Plesk geredet....
Ich sagte nicht das man einen Online-Shop über Shell administrieren soll, aber einen Server mit Sicherheit (wenn man Ahnung hat).

Zitat

Deswegen suche ich nach einer Möglichkeit /admin so zu sichern ohne das z.B. in der Notlösung eine .htaccess Passwort und Benutzerabfrage angezeigt wird

Definiere mal sichern, man käme ja weiter wenn du weißt was du willst.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10 ich will auf den /adminbereich noch irgendwie Zugriff bekommen ohne das andere Nutzer über den Pfad /admin oder jeglichen anderen Pfad einen Loginbereich zu gesicht bekommen. Wie ganz am Anfang gesagt kenne ich nur die Methode mit der .htaccess beschränkung auf gewisse IPs. Gebe es eine andere Lösung ist meiner Meinung nach Plesk und der Hordelogin auch kein Problem da es dort Standardäßig eh nicht an der Sicherheit mängelt.

#11

Zitat

Gebe es eine andere Lösung ist meiner Meinung nach Plesk und der Hordelogin auch kein Problem da es dort Standardäßig eh nicht an der Sicherheit mängelt.

Naja Plesk ist schon Mist... aber wenn du Plesk vertraust wüßte ich nicht warum dich /admin stört.
Wenn du willst kannst du ja das über abc-ganz-geheim.deinedomain.de machen anstelle von /admin,
oder hast du noch eine andere kreative Idee...?
Ich würde nicht soweit gehen und sagen das man das über die IP regeln sollte oder nur über einen spezifischen Tunnel, wenn das mal zusammen bricht dann kommste gar nicht mehr dadrauf und das ist sicherlich nicht Sinn der Sache.
Es muss ja noch halbwegs sinnvoll sein...
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#12 Ich habe jetzt 2 Möglichkeiten über Lösungen für den Zugriff auf die Administrationsbereiche gefunden.
Um einen Bereich zu sichern ist .htaccess schon mal ein Lösungsansatz. Um dort oder im Bereich ssh etc. nur gewisse ips zuzulassen benötige ich normalerweise eine feste ip.
Ich habe gelesen das das irgendwie über dyndns und vpn funktionieren soll (am besten irgendwie mit zusätzlicher RSA Absicherung).
Jetzt suche ich eine Erklärung wie ich eines dieser 2 Möglichkeiten für die Zugriffsberechtigungen umsetzen kann.
Für jegliche Hilfe von Usern die sich damit auskennen bin ich dankbar.

#13

Zitat

Um einen Bereich zu sichern ist .htaccess schon mal ein Lösungsansatz.

Och das ist einfach nur eine Steuerdatei für den Apache Webserver, halt Passwortschutz via Webserver.
Wenn das für dich eine Notlösung ist, na dann..

Zitat

Um dort oder im Bereich ssh etc. nur gewisse ips zuzulassen benötige ich normalerweise eine feste ip.

Würde man so auch eh nicht machen, du müßtest dir meine Posts mal noch ein bisschen genauer durchlesen.

Zitat

Jetzt suche ich eine Erklärung wie ich eines dieser 2 Möglichkeiten für die Zugriffsberechtigungen umsetzen kann.

Tante Google weiß da sicherlich einiges zu, SSHd hat halt eine config und die 1. Möglichkeit via .htaccess ist auch sehr bekannt.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#14

Zitat

Möglichkeit via .htaccess ist auch sehr bekannt.

Das ist klar das das mit .htaccess bekannt ist, aber ohne feste IP ist das mal ein ganz anderer Hut wenn man den Zugriff zum Loginbereich nur für gewisse Nutzer freigeben und nicht für jeden Websurfer frei sichtbar haben will.

Das ist nach wie vor mein Problem.

Wie ich jetzt SSH,php,msql,... vor Sicherheitsrisiken oder unbefugten Login Schütze ist mir völlig klar.

Warum nur das allernötigste an Sicherheit wenn man es auch gleich richtig machen kann ?
Ich bin nicht scharf darauf auch wenn der Server und die Seite dem anschein nach gesichert ist gewisse Sicherheitsdetails wie dem sichtbaren .htaccess Login, Plesklogin oder gewisse Ports sichtbar für andere zu machen wenn dies eh nur für Admins gebraucht wird.

#15

Zitat

Das ist klar das das mit .htaccess bekannt ist, aber ohne feste IP ist das mal ein ganz anderer Hut wenn man den Zugriff zum Loginbereich nur für gewisse Nutzer freigeben und nicht für jeden Websurfer frei sichtbar haben will.

Nein ist es nicht, ich weiß gar nicht was du immer mit deiner festen IP hast, kaum ein Privatnutzer hat eine - ein Login über den Webserver ist ein völlig normaler und durchaus legitimer Vorgang.

Zitat

Das ist nach wie vor mein Problem.
Wie ich jetzt SSH,php,msql,... vor Sicherheitsrisiken oder unbefugten Login Schütze ist mir völlig klar.

Warum nur das allernötigste an Sicherheit wenn man es auch gleich richtig machen kann ?

Ja das hab ich dir bereits gesagt, dass willst du nicht - du möchtest dein Webpanel nicht los werden -
jedoch geht von so etwas bereits die größte Gefahr aus, dass so ein Teil eben mal kurz kompromitiert wird
oder ein Exploit für Plesk oder sonst was verfügbar wird.

Sofern du das nicht ändern willst, wirst du genau die Sicherheit haben die du am Anfang des Threads hattest -
da wird sich rein gar nichts dran ändern.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode