Jak chronić witrynę admin django?

Question

Pomyślałem, że mogę go ograniczyć, aby wyświetlać tylko w niektórych IP, ale mam kilku niezależnych pracowników bez statycznych adresów IP, które powinny być w stanie zalogować się na stronie administratora. Stworzyłem duży projekt i szukam sposobów na zabezpieczenie strony administratora przed niechcianymi oczami.

Answer 1

Jeśli używasz go za apache, możesz użyć jednego z wielu modułów do uwierzytelniania HTTP (istnieją podobne moduły dla innych serwerów). W ten sposób użytkownik nie może nawet wejść na stronę logowania bez zalogowania.

Inną opcją byłoby zablokowanie dostępu ze zdalnego adresu URL i wymaganie od użytkowników korzystania z VPN w celu uzyskania dostępu do stron administracyjnych. (Myślę, że byłoby to zbyt duże z kłopotów)

Mamy stronę, w której interfejs administratora znajduje się w oddzielnej domenie, nie ukrywa niczego, ale utrzymuje je oddzielnie.

Answer 2

1) Ogranicz przez IP. To może nie być całkowicie możliwe w twoim przypadku, ale wciąż możesz poprzestać na udostępnianiu tylko kilku podsieci, nie sądzę, że nawet jeśli Twoi użytkownicy mają dynamiczne adresy IP, najprawdopodobniej uzyskają swoje IP z tej samej podsieci, jeśli będą uzyskiwać dostęp do tej samej sieci za każdym razem. Może to zmniejszyć ryzyko całkowitego otwarcia.

2) Zmień domyślny URL administratora na coś nieoczywistego.

Answer 3

W tej chwili zmagamy się z tym pytaniem. Początkowo ograniczaliśmy dostęp przez IP, jednak (po podpisaniu przez klienta) zostali oni poproszeni o wyłączenie ograniczenia. Obecnie mamy autoryzację digest na szczycie administratora. Rozważamy ograniczanie próby zalogowania i minimalne wymagania dotyczące siły hasła. Uważam, że byłyby to odpowiednie zabezpieczenia, ponieważ ochrona administratora obejmuje ochronę przed złymi wyborami haseł.

Pozwolenie na czas i budżet możemy spojrzeć na mod_security dla wielu rzeczy, w tym reputacji adresu IP (geolokalizacji), czarnej listy i wykrywania ataków brutalnych sił.