как сделать переадресацию

[Anastasiya96]

интересует такой вопросик по защите сайта.. например есть два файла:
1. site.com/index.php
2. site.com/admin/index.php
что нужно прописать во втором файле, чтобы он сразу переходил при запуске на первый?
таким образом хочу защитить админку сайта) или это плохая идея?)

 

[Sorcus]

А не проще ли через веб-сервер ограничить с помощью Basic Auth или через IP?

  location ~ ^/admin {
    satisfy any;
    auth_basic "Restricted area";
    auth_basic_user_file web.apps/.htpasswd;
    allow 2001:db8:1:2::/56;
    allow 203.0.113.13/32;
    deny all;
    fastcgi_pass unix:/run/php-fpm/example.com.sock;
    include fastcgi.conf;
  }

Разрешает доступ если авторизуешься через Basic Auth или если IP в списке разрешённых.

 

[garphild]

интересует такой вопросик по защите сайта.. например есть два файла:
1. site.com/index.php
2. site.com/admin/index.php
что нужно прописать во втором файле, чтобы он сразу переходил при запуске на первый?
таким образом хочу защитить админку сайта) или это плохая идея?)

Плохая идея, потому что тогда вы вообще в админку войти не сможете. Вариант от Sorcus даст запрет всем кроме определенных ip. Но будучи где-то в кафе или на отдыхе в другой стране вам придется перестраивать сервер для входа. Проще все же хотя бы auth_basic использовать.
А вообще неплохо было бы описать от чего именно нужно админку защищать. Брут-форс - один вариант. Ограничение по ip второй. Перегрузка через DOS - третий...

 

[Anastasiya96]

если я захочу зайти в админку, то могу перезаписать этот index.php на старый файл и войти. просто в админку не нужно часто заходить.. а ещё была идея сделать фейковый вход в админку, чтобы логин и пароль при любом ответе были неверны)) но это сделать для меня пока сложно..

 

[garphild]

если я захочу зайти в админку, то могу перезаписать этот index.php на старый файл и войти. просто в админку не нужно часто заходить.. а ещё была идея сделать фейковый вход в админку, чтобы логин и пароль при любом ответе были неверны)) но это сделать для меня пока сложно..

В самом начале скрипта админки.

header('Location: /index.php');
exit;

При необходимости не заменяете, а просто комментируете эти две строчки. Это неправильный подход, но он работает.

 

[Sorcus]

Плохая идея, потому что тогда вы вообще в админку войти не сможете. Вариант от Sorcus даст запрет всем кроме определенных ip. Но будучи где-то в кафе или на отдыхе в другой стране вам придется перестраивать сервер для входа. Проще все же хотя бы auth_basic использовать.
А вообще неплохо было бы описать от чего именно нужно админку защищать. Брут-форс - один вариант. Ограничение по ip второй. Перегрузка через DOS - третий...

Ты невнимательно прочитал моё сообщение.
1. У меня в конфиге указано не только разрешение для IP, но и через Basic Auth.
2. Заходить в админку сайта через публичную точку доступа в кафе плохая идея.
В таких случаях используется VPN, а IP адреса VPN-а не проблема вбить в конфиг заранее.

 

[garphild]

Ты невнимательно прочитал моё сообщение.
1. У меня в конфиге указано не только разрешение для IP, но и через Basic Auth.
2. Заходить в админку сайта через публичную точку доступа в кафе плохая идея.
В таких случаях используется VPN, а IP адреса VPN-а не проблема вбить в конфиг заранее.

вроде внимательно. deny all там как бы убивает все. и вход будет осуществляться с разрешенных IP c использованием Basic Auth. А все остальные не из списка разрешенных будут обрабатываться через deny all. Или я не знаю каких-то ньюансов использования deny all или для поведения которые ты описываешь в ответе его нужно оттуда убрать. Но тогда и allow смысл перестает иметь.

Про VPN согласен. Если только быть уверенным что MITM точно не висит на роутере в кафешке (хеллоу паранойййааа). Я бы для уверенности кроме VPN сделал двухфакторную, например с смс хотя бы. А еще лучше пароли на основе криптоблокнота. Или как на девайсах в банке...

Опера VPN не так просто забить. То же и аваста касается. Только если фикс VPN.

 

[Sorcus]

вроде внимательно. deny all там как бы убивает все. и вход будет осуществляться с разрешенных IP c использованием Basic Auth. А все остальные не из списка разрешенных будут обрабатываться через deny all. Или я не знаю каких-то ньюансов использования deny all или для поведения которые ты описываешь в ответе его нужно оттуда убрать. Но тогда и allow смысл перестает иметь.

Про VPN согласен. Если только быть уверенным что MITM точно не висит на роутере в кафешке (хеллоу паранойййааа). Я бы для уверенности кроме VPN сделал двухфакторную, например с смс хотя бы. А еще лучше пароли на основе криптоблокнота. Или как на девайсах в банке...

Опера VPN не так просто забить. То же и аваста касается. Только если фикс VPN.

В конфиге указан `satisfy any`. Это значит, что доступ можно получить либо через Basic Auth, либо имея IP из списка разрешённых.
Для просмотра ссылки Войди или Зарегистрируйся
Для 2FA вместо SMS лучше использовать OTP (по крайней мере оно должно быть надёжнее, чем SMS).
Например Для просмотра ссылки Войди или Зарегистрируйся

 

[garphild]

В конфиге указан `satisfy any`. Это значит, что доступ можно получить либо через Basic Auth, либо имея IP из списка разрешённых.
Для просмотра ссылки Войди или Зарегистрируйся
Для 2FA вместо SMS лучше использовать OTP (по крайней мере оно должно быть надёжнее, чем SMS).
Например Для просмотра ссылки Войди или Зарегистрируйся

Прошу прощения. Действительно невнимательно прочитал. satisfy any вообще пропустил.

ОТП хорош. Не спорю. Но один из моих клиентов при предложении сделать такой вариант сказал что они пробовали и это не гут, когда нужно на сайт войти с мобильного. У его пользователей просто мозг взрывался, когда они пытались решить задачу как отсканировать код на том же телефоне с которого пытались войти в кабинет пользователя. Самый продвинутый отправлял себе код скриншотом на принтер стоящий рядом и сканировал с распечатки. Был еще такой, который отправлял себе на другой телефон или находящемуся рядом коллеге. Пришлось возвращать смс с одноразовыми паролями, создаваемыми специально для этого и удаляющимися после первого использования или через некоторое время. По сути тот же отп, но меньше длина и проще пароль. Риски становятся вполне приемлемыми если время жизни пароля будет малым (2-5 минут). Правда дороже в обслуживании вариант с смс.