Как ограничить доступ к админке?

Question

Евгений Матвеев @raebg

Веб-разработка

Как ограничить доступ к админке?

Есть админка - панель управления PowerMTA
доступна скажем по порту : dimain.ru:5555
в админке есть доступ к файлу конфиг по адресу dimain.ru:5555/editConfig?returnUrl=/

Поставить запрет внешнего доступа можно только через указания доступа конкретного ip
в нашем случае используется для доступа динамический ip адрес

какие способы есть закрыть на пароль доступ к конфигу или всей панеле.

на порт пароль не поставишь, читал только ограничение по ip

Вопрос задан более трёх лет назад
397 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Пригласить эксперта

Ответы на вопрос 2

7 комментариев

10 комментариев

Евгений Матвеев @raebg Автор вопроса

да и так у меня .htaccess, в корне панельки /etc/pmta/
и такой код ложил в корне сайта - работает
AuthType Basic
AuthName "WellCome"
AuthUserFile "/etc/pmta/.htpasswd"
Require valid-user

а по порту :1001 - нет
отработку htassed включил.
Может путь тут /etc/pmta/.htpasswd не верный, это с рут а абсолютный может другой?
Как его определить? Делал файл индекс < ?php echo $_SERVER['DOCUMENT_ROOT']; ? >
как его вызвать из этой папки?

Написано более трёх лет назад
Борис Сёмов @kotomyava

Может путь тут /etc/pmta/.htpasswd

Это всего лишь путь, который прописан в .htaccess. Можно прописать любой, по большому счёту, и положить туда нужный файл с пользователями и хешами паролей.

Но проблема, скорее всего в том, что у вас какое-то самостоятельно работающее не через ваш апач приложение. Собственно, выводnetstat -ntpl или ss -ntpl, может это прояснить.

Написано более трёх лет назад
Евгений Матвеев @raebg Автор вопроса

netstat -ntpl
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1001 0.0.0.0:* LISTEN 812/pmtahttpd
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 716/mysqld
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 899/master
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 744/dovecot
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 744/dovecot
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 6079/httpd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 577/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 899/master
tcp 0 0 0.0.0.0:2525 0.0.0.0:* LISTEN 762/pmtad
tcp 0 0 :::22 :::* LISTEN 577/sshd

ss -ntpl
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 0 *:1001 *:* users:(("pmtahttpd",812,11))
LISTEN 0 0 *:3306 *:* users:(("mysqld",716,10))
LISTEN 0 0 *:587 *:* users:(("master",899,85))
LISTEN 0 0 *:110 *:* users:(("dovecot",744,18))
LISTEN 0 0 *:143 *:* users:(("dovecot",744,20),("imap-login",6042,7))
LISTEN 0 0 *:80 *:* users:(("httpd",6079,3),("httpd",6081,3),("httpd",6082,3),("httpd",6083,3),("httpd",6084,3),("httpd",6085,3),("httpd",6086,3),("httpd",6087,3),("httpd",6088,3))
LISTEN 0 0 *:22 *:* users:(("sshd",577,3))
LISTEN 0 0 *:25 *:* users:(("master",899,12),("smtpd",5941,6),("smtpd",6024,6))
LISTEN 0 0 *:2525 *:* users:(("pmtad",762,37))
LISTEN 0 0 :::22 :::* users:(("sshd",577,4))

Написано более трёх лет назад
Евгений Матвеев @raebg Автор вопроса

LISTEN 0 0 *:1001 *:* users:(("pmtahttpd",812,11))
вот мне надо из вне запретить ходить сюда просто так без пароля
-----

Написано более трёх лет назад
Борис Сёмов @kotomyava
tcp 0 0 0.0.0.0:1001 0.0.0.0:* LISTEN 812/pmtahttpd

Ну вот, так и есть - это отдельное приложение. Дальше надо читать доку. И либо повесить приложение на 127.0.0.1, либо разрешить только с 127.0.0.1 подключаться, либо закрыть 1001 фаерволом(если не перевешивать на локальный интерфейс в любом случае стоит закрыть).
А далее, создать vhost для этог приложения в апаче, например, на поддомене каком-нибудь, и проксировать запросы к 127.0.0.1:1001, заодно добавив авторизацию. https://httpd.apache.org/docs/current/howto/revers...
Написано более трёх лет назад
Евгений Матвеев @raebg Автор вопроса

смутно понял идею, не делал не разу, лиха беда началом.
С новым годом

Написано более трёх лет назад
Евгений Матвеев @raebg Автор вопроса

примеров нет на памяти не каких?
порт я кстати любой свободный могу поставить..

Написано более трёх лет назад
Борис Сёмов @kotomyava

Попробую немного проще описать. У приложения нет возможности авторизации, значит между ним и клиентом мы втыкаем http прокси, который авторизацию умеет. Клиент обращается к нему(например через https://pm.example.com), приходит авторизацию, и если она успешна, наш прокси отправляет тот же запрос дальше(http://127.0.0.1:1001), а ответ приложения возвращает клиенту. А если нет, показывает сообщение об ошибке.
Ну а попасть напрямую по ip:1001, мы запрещаем фаерволом, или настройками приложения.

Как реализуется именно проксирование в случае апача есть в документации по ссылке выше.

Написано более трёх лет назад
Борис Сёмов @kotomyava

Евгений Матвеев, Готового примера нет - я не использую apache как reverse proxy. =)

Написано более трёх лет назад
Евгений Матвеев @raebg Автор вопроса

ок, спс я почитаю, потыркаю. Почему то изначально думал будет все попроще.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

Простой
Почему сайт отображается некорректно?
- 1 подписчик
- 19 часов назад
- 119 просмотров
3

ответа
JavaScript

+1 ещё

Простой
Существуют ли браузерные реализации WebView для AJAX и Fetch?
- 1 подписчик
- вчера
- 77 просмотров
1

ответ
Веб-разработка

Простой
Каково критическое количество HTTP (ajax) запросов на сервер, как его расчитать?
- 1 подписчик
- вчера
- 83 просмотра
3

ответа
Веб-разработка

+1 ещё

Простой
Как реализовать Web-CLI?
- 1 подписчик
- вчера
- 71 просмотр
1

ответ
Веб-разработка

+1 ещё

Средний
Как вывести уведомления в фоновом "WebView"-приложении?
- 1 подписчик
- вчера
- 64 просмотра
2

ответа
Веб-разработка

Простой
Как обойти блокировку просмотра видео?
- 1 подписчик
- 20 апр.
- 103 просмотра
3

ответа
Веб-разработка

Средний
Как отсортировать в ХТМЛ по дате рождения от младшего к старшему, а так же, нумерацию их 1,2,3,4. Чтобы можно было потом добавить еще людей?
- 1 подписчик
- 20 апр.
- 107 просмотров
1

ответ
Веб-разработка

Простой
Не будет ли проблем при использовании хостинга другой страны?
- 1 подписчик
- 18 апр.
- 132 просмотра
2

ответа
Веб-разработка

+1 ещё

Средний
Как сделано всплывающее окно с моим e-mail адресом Google, который я на этом сервере не оставлял?
- 1 подписчик
- 17 апр.
- 155 просмотров
2

ответа
WordPress

+2 ещё

Простой
Из-за чего выдает такое на главной после переноса?
- 1 подписчик
- 17 апр.
- 78 просмотров
1

ответ
Показать ещё Загружается…

Веб-разработчик

Искра • Екатеринбург

от 80 000 до 100 000 ₽

Веб-разработчик

Art gorka • Санкт-Петербург

от 60 000 ₽

Веб-разработка и управление IT в Sortage

Sortage • Москва

от 180 000 ₽

Разработка телеграм бота с интеграцией ChatGPT

23 апр. 2024, в 11:29

10000 руб./за проект

Разработать сайт на Tilda

23 апр. 2024, в 11:19

5000 руб./за проект

Настроить AmoCRM, сделать привязку телефонии

23 апр. 2024, в 11:14

5000 руб./за проект

Answer 1 · 2019-12-31 13:49:42

htpasswd
Также IP врятле прям совсем динамический, скорее всего меняется последние цифры, поэтому можно ограничить доступ для под сети.

Answer 2 · 2019-12-31 18:13:08

Какой веб сервер используется?

Если apache, и при этом включена обработка .htaccess, то в .htaccess надо добавить:

AuthType Basic
AuthName "WellCome"
AuthUserFile "/etc/pmta/.htpasswd"
Require valid-user

*пути взяты из коментов к другому ответу, и возможно стоит выбрать другие.

Если не включена, то добавить это же, но в конфиг соответствующего виртуального хоста.

При этом в файле /etc/pmta/.htpasswd должны быть прописаны пользователи, и хеши их паролей.

Если nginx, то https://nginx.org/ru/docs/http/ngx_http_auth_basic... там почти также.
Если какой-то другой, то читать его документацию.

Если это вообще отдельное приложение, можно nginx или даже apache перед ним воткнуть как reverse-proxy, прямиой доступ закрыть конфигурацией приложения, или фаерволом, а авторизацию делать на уровне проокси, как написано выше.

Как ограничить доступ к админке?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт