Website Adminbereich sichern (ohne feste ip)

#0
10.02.2013, 20:03
Member

Beiträge: 14
#1 Servus,

ich benötige dringend Hilfe im absichern meiner Webseite.
Diese Webseite besitzt einen Admin bereich (domain.com/admin/).
Für diese Seite will ich das normal Leute keinen Zugriff haben aber ich schon.
Ich weiß das es per .htaccess möglich ist einer bestimmten IP Adresse Zugang zu gewähren nur leider habe ich keine feste IP und es ist auch vom Provider nicht umsetzbar oder gewollt.
Standard ist auch der Aufruf der Pfade zu Plesk oder zur webmail.domain.com der für jeden ohne Probleme möglich ist.
Diese 2 weiteren Seiten sollten auch keinen Zugriff zum Loginmenü geboten werden.
Meine Webseite ist auf einem Linux Debian 6 mit Plesk. Die Seite läuft über das Sicherheitsnetzwerk Cloudflare und ist unter anderen mit crawlprotect gesichert.
Die Webseite wird einmal eine Besucheranzahl aufweisen bei der mir kein einziger Fehler unterlaufen darf.

Ich hoffe mir kann jemand bei meinem Problem weiterhelfen.

MFG

DaMax
Seitenanfang Seitenende
17.02.2013, 10:59
Member

Themenstarter

Beiträge: 14
#2 so viele Themen zur Webseiten Sicherheit aber keiner hat Ahnung von einem der wichtigsten Angriffspunkte neben sql injections.
Schade.
Seitenanfang Seitenende
17.02.2013, 11:37
Member

Beiträge: 893
#3 Hallo

Zitat

Diese Webseite besitzt einen Admin bereich (domain.com/admin/).
Für diese Seite will ich das normal Leute keinen Zugriff haben aber ich schon.
Da hat doch nur root Zugriff daruf 0der ?
Inwieweit hast du Rechte auf dem Systrem, wenn du root-Rechte hast, könnteste du aj bestimmte Teile des / per chmod nur für root lesbar und schreibbar amchen, der normale user kann dann dort nichts mehr lesen oder gar schreiben.
__________
Mfg
schwedenmann
Seitenanfang Seitenende
17.02.2013, 13:19
Moderator
Avatar hevtig

Beiträge: 2287
#4 Der Adminbereich ist doch vermutlich grds. erst einmal selber du Passwortschutz gesichert. Wenn du dann über .htaccess eine zusätzliche Passwortabfrage da reinbastelst, sollte das doch schon eine gewisse Sicherheit bieten, oder?
Wenn es mit der festen IP nicht geht, dann hast du ja quasi nur noch diese Möglichkeit.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
17.02.2013, 15:20
Member
Avatar Xeper

Beiträge: 5285
#5

Zitat

DaMax postete
so viele Themen zur Webseiten Sicherheit aber keiner hat Ahnung von einem der wichtigsten Angriffspunkte neben sql injections.
Schade.
Och Ahnung hab ich sehr viel, leider sind das z.T. Wahrheiten die sowieso niemand hören will da die meistens unbequem sind. ;)
Die Antwort ist simpel, keinen sog. Adminbereich nutzen - das einzige was man bei einem eigenen Rootserver benötigt ist SSH.
Login erfolgt dann über keys die festgelegt sind, darüber hinaus kann man den SSH port via port knocking sichern.
Es sollte niemals ein Webpanel geben bei dem alle Funktionalitäten und jeglicher Zugriff über HTTP veräußert werden.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
17.02.2013, 20:24
Member

Themenstarter

Beiträge: 14
#6 Leider ist es mir nicht möglich ohne Webpanel für die Seiten auszukommen. Die Absicherung des Adminbereichs mit einer zusätzlichen Passwortabfrage über .htaccess ist natürlich eine Möglichkeit. Das schlechte ist wenn jemand mal einfach /admin o.ä. zur Domain hinzufügt das dieser dann merkt das über diesesn Pfad ein Zugriff für den administrativen Bereich möglich ist. Auch wenn es im Grunde sicher ist, ist die Lösung nicht wirklich die beste. Wenn man jetzt auf Facebook o.ä. Seiten geht kommt über den Pfad /admin auch keine Abfragekonsole ;)
Seitenanfang Seitenende
17.02.2013, 23:06
Member
Avatar Xeper

Beiträge: 5285
#7

Zitat

Leider ist es mir nicht möglich ohne Webpanel für die Seiten auszukommen.
Begründung?

Zitat

Wenn man jetzt auf Facebook o.ä. Seiten geht kommt über den Pfad /admin auch keine Abfragekonsole
Eben wie ich dir erklärt habe, alles eine Frage der Einrichtung/Programmierung/etc.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Dieser Beitrag wurde am 17.02.2013 um 23:50 Uhr von Xeper editiert.
Seitenanfang Seitenende
18.02.2013, 16:25
Member

Themenstarter

Beiträge: 14
#8 Die Panel der Webseite kann ich nicht weglassen da über diese sämmtliche Verwaltungen laufen z.B. Regestrierte Benutzer, Meldungen, Seitenaufrufe, Einkäufe von Personen und deren Transaktionsstatus und einige weitere Dinge wie Ads und co werden darauf verwaltet.
Das wird oder kann auch kaum bei anderen Online-Seiten nür über eine Console laufen sondern dafür ist eine Verwaltungsoberfläche notwendig ;)
Deswegen suche ich nach einer Möglichkeit /admin so zu sichern ohne das z.B. in der Notlösung eine .htaccess Passwort und Benutzerabfrage angezeigt wird
Seitenanfang Seitenende
18.02.2013, 16:27
Member
Avatar Xeper

Beiträge: 5285
#9

Zitat

Die Panel der Webseite kann ich nicht weglassen da über diese sämmtliche Verwaltungen laufen z.B. Regestrierte Benutzer, Meldungen, Seitenaufrufe, Einkäufe von Personen und deren Transaktionsstatus und einige weitere Dinge wie Ads und co werden darauf verwaltet.
Das wird oder kann auch kaum bei anderen Online-Seiten nür über eine Console laufen sondern dafür ist eine Verwaltungsoberfläche notwendig
Das mag ja sein wenn du von einem Online-Shop redest, du hast halt von Plesk geredet....
Ich sagte nicht das man einen Online-Shop über Shell administrieren soll, aber einen Server mit Sicherheit (wenn man Ahnung hat).

Zitat

Deswegen suche ich nach einer Möglichkeit /admin so zu sichern ohne das z.B. in der Notlösung eine .htaccess Passwort und Benutzerabfrage angezeigt wird
Definiere mal sichern, man käme ja weiter wenn du weißt was du willst.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
18.02.2013, 16:35
Member

Themenstarter

Beiträge: 14
#10 ich will auf den /adminbereich noch irgendwie Zugriff bekommen ohne das andere Nutzer über den Pfad /admin oder jeglichen anderen Pfad einen Loginbereich zu gesicht bekommen. Wie ganz am Anfang gesagt kenne ich nur die Methode mit der .htaccess beschränkung auf gewisse IPs. Gebe es eine andere Lösung ist meiner Meinung nach Plesk und der Hordelogin auch kein Problem da es dort Standardäßig eh nicht an der Sicherheit mängelt.
Seitenanfang Seitenende
18.02.2013, 16:41
Member
Avatar Xeper

Beiträge: 5285
#11

Zitat

Gebe es eine andere Lösung ist meiner Meinung nach Plesk und der Hordelogin auch kein Problem da es dort Standardäßig eh nicht an der Sicherheit mängelt.
Naja Plesk ist schon Mist... aber wenn du Plesk vertraust wüßte ich nicht warum dich /admin stört.
Wenn du willst kannst du ja das über abc-ganz-geheim.deinedomain.de machen anstelle von /admin,
oder hast du noch eine andere kreative Idee...?
Ich würde nicht soweit gehen und sagen das man das über die IP regeln sollte oder nur über einen spezifischen Tunnel, wenn das mal zusammen bricht dann kommste gar nicht mehr dadrauf und das ist sicherlich nicht Sinn der Sache.
Es muss ja noch halbwegs sinnvoll sein...
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
19.02.2013, 11:29
Member

Themenstarter

Beiträge: 14
#12 Ich habe jetzt 2 Möglichkeiten über Lösungen für den Zugriff auf die Administrationsbereiche gefunden.
Um einen Bereich zu sichern ist .htaccess schon mal ein Lösungsansatz. Um dort oder im Bereich ssh etc. nur gewisse ips zuzulassen benötige ich normalerweise eine feste ip.
Ich habe gelesen das das irgendwie über dyndns und vpn funktionieren soll (am besten irgendwie mit zusätzlicher RSA Absicherung).
Jetzt suche ich eine Erklärung wie ich eines dieser 2 Möglichkeiten für die Zugriffsberechtigungen umsetzen kann.
Für jegliche Hilfe von Usern die sich damit auskennen bin ich dankbar.
Seitenanfang Seitenende
19.02.2013, 11:40
Member
Avatar Xeper

Beiträge: 5285
#13

Zitat

Um einen Bereich zu sichern ist .htaccess schon mal ein Lösungsansatz.
Och das ist einfach nur eine Steuerdatei für den Apache Webserver, halt Passwortschutz via Webserver.
Wenn das für dich eine Notlösung ist, na dann..

Zitat

Um dort oder im Bereich ssh etc. nur gewisse ips zuzulassen benötige ich normalerweise eine feste ip.
Würde man so auch eh nicht machen, du müßtest dir meine Posts mal noch ein bisschen genauer durchlesen. ;)

Zitat

Jetzt suche ich eine Erklärung wie ich eines dieser 2 Möglichkeiten für die Zugriffsberechtigungen umsetzen kann.
Tante Google weiß da sicherlich einiges zu, SSHd hat halt eine config und die 1. Möglichkeit via .htaccess ist auch sehr bekannt.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
19.02.2013, 12:17
Member

Themenstarter

Beiträge: 14
#14

Zitat

Möglichkeit via .htaccess ist auch sehr bekannt.
Das ist klar das das mit .htaccess bekannt ist, aber ohne feste IP ist das mal ein ganz anderer Hut wenn man den Zugriff zum Loginbereich nur für gewisse Nutzer freigeben und nicht für jeden Websurfer frei sichtbar haben will.

Das ist nach wie vor mein Problem.

Wie ich jetzt SSH,php,msql,... vor Sicherheitsrisiken oder unbefugten Login Schütze ist mir völlig klar.

Warum nur das allernötigste an Sicherheit wenn man es auch gleich richtig machen kann ?
Ich bin nicht scharf darauf auch wenn der Server und die Seite dem anschein nach gesichert ist gewisse Sicherheitsdetails wie dem sichtbaren .htaccess Login, Plesklogin oder gewisse Ports sichtbar für andere zu machen wenn dies eh nur für Admins gebraucht wird.
Seitenanfang Seitenende
19.02.2013, 12:25
Member
Avatar Xeper

Beiträge: 5285
#15

Zitat

Das ist klar das das mit .htaccess bekannt ist, aber ohne feste IP ist das mal ein ganz anderer Hut wenn man den Zugriff zum Loginbereich nur für gewisse Nutzer freigeben und nicht für jeden Websurfer frei sichtbar haben will.
Nein ist es nicht, ich weiß gar nicht was du immer mit deiner festen IP hast, kaum ein Privatnutzer hat eine - ein Login über den Webserver ist ein völlig normaler und durchaus legitimer Vorgang.

Zitat

Das ist nach wie vor mein Problem.
Wie ich jetzt SSH,php,msql,... vor Sicherheitsrisiken oder unbefugten Login Schütze ist mir völlig klar.

Warum nur das allernötigste an Sicherheit wenn man es auch gleich richtig machen kann ?
Ja das hab ich dir bereits gesagt, dass willst du nicht - du möchtest dein Webpanel nicht los werden -
jedoch geht von so etwas bereits die größte Gefahr aus, dass so ein Teil eben mal kurz kompromitiert wird
oder ein Exploit für Plesk oder sonst was verfügbar wird.

Sofern du das nicht ändern willst, wirst du genau die Sicherheit haben die du am Anfang des Threads hattest -
da wird sich rein gar nichts dran ändern.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: