ЗАЩИТА ОТ ДОСТУПА. есть ли реализация?
Модератор: immortal
-
- Сообщения: 3
- Зарегистрирован: Пт дек 07, 2018 3:40 pm
- Благодарил (а): 0
- Поблагодарили: 1 раз
Re: ЗАЩИТА ОТ ДОСТУПА. есть ли реализация?
Поделюсь своей реализацией.
Почему-то не увидел в теме никаких упоминаний проблемы разделения доступа для разных пользователей. Я у себя в целом решил вопрос доступа связкой https и http basic авторизации штатными средствами nginx. Мне такой вариант видится более предпочтительным, чтобы исключить возможные уязвимости в PHP-движке или самом Majordomo. Да, в Majordomo есть собственная реализация, но там никак не решён вопрос с несколькими пользователями.
Majordomo пришлось доработать, чтобы nginx-пользователи автоматически идентифицировались в Majordomo. Пока не делал систему администрирования пользователей nginx, обхожусь командной строкой.
HTTPS поднял на официальных бесплатных сертификатах letsencrypt. Так что в итоге требуется минимум телодвижений для доступа любого пользователя системы из любой точки сети. Имя-пароль у пользователей сохранены в их браузерах или настройках мобильного приложения, надо только время от времени жмакать кнопку "ок" на запросе авторизации. Не надо никаких лишних движений с поднятием VPN-соединения, да и остаётся возможность подключиться с чужого терминала.
Пока остался нерешенным вопрос с доступностью websocket из инета, штатно они работают по нешифрованному соединению, не хочу в таком виде выставлять их наружу.
Если подобные настройки кому-то интересно, могу расписать подробнее.
Почему-то не увидел в теме никаких упоминаний проблемы разделения доступа для разных пользователей. Я у себя в целом решил вопрос доступа связкой https и http basic авторизации штатными средствами nginx. Мне такой вариант видится более предпочтительным, чтобы исключить возможные уязвимости в PHP-движке или самом Majordomo. Да, в Majordomo есть собственная реализация, но там никак не решён вопрос с несколькими пользователями.
Majordomo пришлось доработать, чтобы nginx-пользователи автоматически идентифицировались в Majordomo. Пока не делал систему администрирования пользователей nginx, обхожусь командной строкой.
HTTPS поднял на официальных бесплатных сертификатах letsencrypt. Так что в итоге требуется минимум телодвижений для доступа любого пользователя системы из любой точки сети. Имя-пароль у пользователей сохранены в их браузерах или настройках мобильного приложения, надо только время от времени жмакать кнопку "ок" на запросе авторизации. Не надо никаких лишних движений с поднятием VPN-соединения, да и остаётся возможность подключиться с чужого терминала.
Пока остался нерешенным вопрос с доступностью websocket из инета, штатно они работают по нешифрованному соединению, не хочу в таком виде выставлять их наружу.
Если подобные настройки кому-то интересно, могу расписать подробнее.
- За это сообщение автора longmaster поблагодарил:
- odinvolk (Ср фев 27, 2019 2:47 pm)
- Рейтинг: 1.16%
-
- Сообщения: 264
- Зарегистрирован: Чт ноя 08, 2018 5:51 am
- Благодарил (а): 10 раз
- Поблагодарили: 83 раза
Re: ЗАЩИТА ОТ ДОСТУПА. есть ли реализация?
Да, это было здорово. может на блоге написать статью. для новичков было бы полезно.да и опытным из одного место уже готовое решение брать тоже было бы удобно.longmaster писал(а): ↑Ср фев 27, 2019 10:25 amПоделюсь своей реализацией.
Почему-то не увидел в теме никаких упоминаний проблемы разделения доступа для разных пользователей. Я у себя в целом решил вопрос доступа связкой https и http basic авторизации штатными средствами nginx. Мне такой вариант видится более предпочтительным, чтобы исключить возможные уязвимости в PHP-движке или самом Majordomo. Да, в Majordomo есть собственная реализация, но там никак не решён вопрос с несколькими пользователями.
Majordomo пришлось доработать, чтобы nginx-пользователи автоматически идентифицировались в Majordomo. Пока не делал систему администрирования пользователей nginx, обхожусь командной строкой.
HTTPS поднял на официальных бесплатных сертификатах letsencrypt. Так что в итоге требуется минимум телодвижений для доступа любого пользователя системы из любой точки сети. Имя-пароль у пользователей сохранены в их браузерах или настройках мобильного приложения, надо только время от времени жмакать кнопку "ок" на запросе авторизации. Не надо никаких лишних движений с поднятием VPN-соединения, да и остаётся возможность подключиться с чужого терминала.
Пока остался нерешенным вопрос с доступностью websocket из инета, штатно они работают по нешифрованному соединению, не хочу в таком виде выставлять их наружу.
Если подобные настройки кому-то интересно, могу расписать подробнее.
-
- Сообщения: 3006
- Зарегистрирован: Чт авг 21, 2014 8:28 am
- Откуда: Киров, Россия
- Благодарил (а): 400 раз
- Поблагодарили: 1753 раза
- Контактная информация:
Re: ЗАЩИТА ОТ ДОСТУПА. есть ли реализация?
Нужны. Пиши в блоге в Коннекте.longmaster писал(а): ↑Ср фев 27, 2019 10:25 amЕсли подобные настройки кому-то интересно, могу расписать подробнее.
MajorDoMo (GitHub) на Cubietruck. ОС Debian 7 (wheezy) (kernel 3.4.105) с переносом на HDD.
Мой CONNECT | Блоги | Telegram
Мой CONNECT | Блоги | Telegram
- nightwind
- Сообщения: 333
- Зарегистрирован: Вс июн 26, 2016 4:42 pm
- Откуда: Барановичи
- Благодарил (а): 28 раз
- Поблагодарили: 52 раза
- Контактная информация:
Re: ЗАЩИТА ОТ ДОСТУПА. есть ли реализация?
Если есть доступ к внутренней сети - все эти авторизации -чисто защита от дурака. тут у людей датчики get-запросами общаются)))
- olis
- Сообщения: 18
- Зарегистрирован: Вс июл 14, 2019 6:29 pm
- Благодарил (а): 8 раз
- Поблагодарили: 6 раз
Re: ЗАЩИТА ОТ ДОСТУПА. есть ли реализация?
Сейчас оказался в такой же ситуации, готового решения не нашел, поэтому заколхозил авторизацию прямо в config.php, на основе той, что встроена в систему. Не супер-защита, конечно, но от дураков сойдет.ZyaK писал(а): ↑Ср ноя 28, 2018 10:54 amВсем доброго времени,
расшарил доступ к умному дому через облако KeenDNS, в конфиг пхп раскомментировал домашнюю сеть, логин и пароль прописал.
но видимо при входе через облако от кенетика он думает, что я нахожусь в домашней сети и пароль не спрашивает.
то же самое и на телефонах.
как с этим быть?
IP естественно серый(живу не в городе, только мобильный интернет)
Код: Выделить всё
// Авторизация
$allows = [ // Список объектов или сценариев, которым открыт доступ снаружи через GET запросы:
'you_script_name_1',
'you_script_name_2',
'you_object_name_1',
'you_object_name_2'
];
$access = false;
if(preg_match("/^192\.168\.1\.(3[3-9]|[4-9][0-9]|1[0-2][0-9]|13[0-3])$/", $_SERVER['REMOTE_ADDR'])) $access = true; // из домашней сети в диапазоне (192.168.1.33 - 192.168.1.133)
if($_SERVER['SCRIPT_NAME'] == '/objects/index.php' // сценарий или метод из списка разрешенных
&& (in_array($_GET['script'], $allows) || (in_array($_GET['object'], $allows) && $_GET['op'] == 'm'))
) $access = true;
if(!$access){
Define('HOME_NETWORK', '0.0.0.0');
Define('EXT_ACCESS_USERNAME', 'you_username');
Define('EXT_ACCESS_PASSWORD', 'you_password');
}// конец авторизации
- SmoKE_xDDD
- Сообщения: 816
- Зарегистрирован: Ср апр 17, 2019 5:00 pm
- Откуда: Нижний Новгород
- Благодарил (а): 110 раз
- Поблагодарили: 898 раз
Re: ЗАЩИТА ОТ ДОСТУПА. есть ли реализация?
Согласен с комментом выше, использую basic авторизацию. В большинстве случаем проходит такой вариант авторизации:
Код: Выделить всё
http://login:pass@local.host
-
- Сообщения: 118
- Зарегистрирован: Вт окт 14, 2014 9:19 pm
- Благодарил (а): 48 раз
- Поблагодарили: 12 раз
Re: ЗАЩИТА ОТ ДОСТУПА. есть ли реализация?
В общем, если кому-то будет полезно. Не в качестве рекламы. Я себе реализовал защиту админки при входе через паблик интернет стандартными средствами KeenCloud: https://help.keenetic.com/hc/ru/articles/360002171280
Суть в том, что авторизацию осуществляет сам роутер. Т.е. пускает дальше на сервер в домашней сети только авторизованных пользователей. Дополнительная плюшка - доступ к WEB-ке сразу через https.
Суть в том, что авторизацию осуществляет сам роутер. Т.е. пускает дальше на сервер в домашней сети только авторизованных пользователей. Дополнительная плюшка - доступ к WEB-ке сразу через https.
Cubietrunck + Debian
- SmoKE_xDDD
- Сообщения: 816
- Зарегистрирован: Ср апр 17, 2019 5:00 pm
- Откуда: Нижний Новгород
- Благодарил (а): 110 раз
- Поблагодарили: 898 раз
Re: ЗАЩИТА ОТ ДОСТУПА. есть ли реализация?
Этого не достаточно...Vittaly писал(а): ↑Пн сен 21, 2020 4:18 pmВ общем, если кому-то будет полезно. Не в качестве рекламы. Я себе реализовал защиту админки при входе через паблик интернет стандартными средствами KeenCloud: https://help.keenetic.com/hc/ru/articles/360002171280
Суть в том, что авторизацию осуществляет сам роутер. Т.е. пускает дальше на сервер в домашней сети только авторизованных пользователей. Дополнительная плюшка - доступ к WEB-ке сразу через https.
-
- Сообщения: 118
- Зарегистрирован: Вт окт 14, 2014 9:19 pm
- Благодарил (а): 48 раз
- Поблагодарили: 12 раз
Re: ЗАЩИТА ОТ ДОСТУПА. есть ли реализация?
Но всё же лучше, чем ничего. И по-моему более надёжно, чем через конфиг апача включать авторизацию.SmoKE_xDDD писал(а): ↑Пн сен 21, 2020 9:19 pmЭтого не достаточно...
А кстати, почему недостаточно, и что было бы достаточно? Я просто не очень в этом силён, интересно мнение знающих людей...
Cubietrunck + Debian
- SmoKE_xDDD
- Сообщения: 816
- Зарегистрирован: Ср апр 17, 2019 5:00 pm
- Откуда: Нижний Новгород
- Благодарил (а): 110 раз
- Поблагодарили: 898 раз
Re: ЗАЩИТА ОТ ДОСТУПА. есть ли реализация?
https://mjdm.ru/forum/viewtopic.php?f=30&t=6589Vittaly писал(а): ↑Вт сен 22, 2020 7:17 amНо всё же лучше, чем ничего. И по-моему более надёжно, чем через конфиг апача включать авторизацию.SmoKE_xDDD писал(а): ↑Пн сен 21, 2020 9:19 pmЭтого не достаточно...
А кстати, почему недостаточно, и что было бы достаточно? Я просто не очень в этом силён, интересно мнение знающих людей...
- За это сообщение автора SmoKE_xDDD поблагодарил:
- Vittaly (Вт сен 22, 2020 8:27 pm)
- Рейтинг: 1.16%