LINUX.ORG.RU
ФорумAdmin

Как ограничить доступ к сайту только определенным пользователям?

 , ,


0

1

Как ограничить доступ к сайту только определенным пользователям?

В роли сайта выступает тот самый регистратор, который уже описывал в предыдущих темах.

1. Обычно это легко решается при помощи логина с паролем.
Но тут не решена проблема, если определенные юзеры начать раздавать логины/пароли нежелательным юзерам, а такое произойдет непременно по принципу «А что мне, жалко?»

2. Второе ограничение может быть реализовано по доступу с определенных IP.
Но и тут проблема - айпишники у юзеров динамические и постоянно меняются.

3. Ограничение по MAC нереализуемо, т.к. они не передается по паутине.

4. Так же как и 2-факторная авторизация, потому что для отправки SMS нужно городить целую инфраструктуру, имхо.

Какие еще существуют способы блокировки НСД к сайту?

★★★★★

Но тут не решена проблема, если определенные юзеры начать раздавать логины/пароли нежелательным юзерам, а такое произойдет непременно по принципу «А что мне, жалко?»

Если юзер готов поделиться с кем-то своим доступом то ты его не остановишь. Лучше таким ненадёжным доступ не давать просто.

firkax ★★★★★
()
Ответ на: комментарий от symon2014

По ssh или как ?

Медиапоток надо раздавать. В этом DVR их два - 9000 и RSTP.
Пока не вкурю, в чем разница.
А еще там участвует http.

Юзеры должны получать доступ с помощью гандроидной утилиты ViewCom, хотя может она и не единственная.

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 1)
Ответ на: комментарий от chukcha

как она реализуется

Спрашиваешь у пользователя почту и пароль, если пароль верный генерируешь код, отправляешь на почту, спрашиваешь код у пользователя, если совпало - пускаешь. Желательно сделать коду таймаут.

ddidwyll ★★★★
()

если определенные юзеры начать раздавать логины/пароли

Проблема административная. Технически не решается. Можно раздать аппаратные токены.

для отправки SMS нужно городить целую инфраструктуру

Не нужно, нужно подписаться на сервис рассылки смс и дергать их апи.

ya-betmen ★★★★★
()
Ответ на: комментарий от ddidwyll

4. Сделай в качестве второго фактора код на почту.
на почту

ту которая бумажная. Пару раз пользак подождет пока почта россии доставит и перестанет раздавать логины направо и налево.

anc ★★★★★
()
Ответ на: комментарий от ya-betmen

нужно подписаться на сервис рассылки смс и дергать их апи.

Вот спасибо! Без тебя не догадался бы :=)
Гляну цены. Хотя, наверное, я операторам неинтересен, потому что у меня не массовые рассылки, а очень редкие, пару штук в месяц максимум, имхо, а потом и вовсе по нулям.

chukcha ★★★★★
() автор топика
Ответ на: комментарий от chukcha

потому что у меня не массовые рассылки, а очень редкие, пару штук в месяц максимум

Можно прикрутить к серверу мабилу и рассылать с неё.

anc ★★★★★
()

Какие еще существуют способы блокировки НСД к сайту?

Клиентские TLS-сертификаты, например. Ими, конечно, тоже можно делиться, как и паролями, но это слегка более геморно, т.к. надо заливать файлы, а не просто запостить пару логин/пароль.

Можно раздавать эти сертификаты на аппаратных ключах — тогда уже скопировать не смогут.

А вообще, решать организационные проблемы техническими средствами — такое себе занятие.

annulen ★★★★★
()

а такое произойдет непременно по принципу «А что мне, жалко?» Так а может и вам не жалко на самом деле? Хотелось бы узнать чуть глубже, какую проблему мы пытаемся решить? Ну пошарил юзер пароль, допустим, и что дальше?

anonymous
()
Ответ на: комментарий от anc

. нам на троих этих 45 хватит надооолго.

Сделай 15 и уже будет не так интересно делиться паролем, но самое интересное, что после 15 заходов пароль у левого товарища превратится в тыкву. Время взаимодействия с системой будет сокращено.

Я залогинился и сижу не выходя

Закрывать сессию, очевидно

Jurik_Phys ★★★★★
()
Последнее исправление: Jurik_Phys (всего исправлений: 1)
Ответ на: комментарий от Jurik_Phys

Я залогинился и сижу не выходя

Закрывать сессию, очевидно

Офигеть вариант! Сижу, пишу очень нужный документ||кумарю код||что-то другое нужное... и тут фигак! Все что нажито непосильным трудом превращается в тыкву.
Но есть и лайтовей вариант, который при этом так же неприятен, открыта «куча» приложух с которыми ты сейчас работаешь они и расположены по фэншую и открыто в них то что тебе нужно... и тут «ходишь ходишь ... бац вторая смена» в смысле теперь ждем когда нам «уважаемый» админ закрывший сессию пришлет новый пасс. Пасс получили... залогинились... но мысль уже ушла... печалька.

anc ★★★★★
()
Ответ на: комментарий от thegoldone

Нахер вообще логин и пароль. Вводишь почту, получаешь ссылку на вход или код.

Как-то лайтово... Вводишь почту и номер телефона, на телефон прилетает временный пароль на почту, заходим в почту отправляем специальный запрос на специальный адрес, получаем на телефон код подтверждения который надо отправить на нужный номер, после этого получаем на почту:

ссылку на вход или код.

Вот так «фэншуйнее».

anc ★★★★★
()
Ответ на: комментарий от anonymous

Делай как гмэйл. Сменился юзер-агент - подозрение во взломе и блокировка.

На UA они вроде только предупреждение присылают, но не блокируют.

anc ★★★★★
()
Ответ на: комментарий от anc

Ну в корп. сетях примерно так оно и происходит. Сначала включить VPN – ввести пароль от sudo, пароль, пароль в мобильном, потом код с телефона. И тогда появляется возможность ввести логин и пароль.

thegoldone
()
Ответ на: комментарий от thegoldone

Ну в корп. сетях примерно так оно и происходит. Сначала включить VPN – ввести пароль от sudo, пароль, пароль в мобильном, потом код с телефона. И тогда появляется возможность ввести логин и пароль.

Это какие-то неправильные корп. сети и они несут неправильные байтики. В правильных корп. сетях начинается с «напиши служебку» или в легком варианте только с «протокола совещания», но второй вариант редкость. Причем если вы подумали что это у нас такой трэш, то вы ошибаетесь, например у немчуры трэш в разы превосходит то, что вам может придти в голову. Прозвиздеть по шкайпику X-много часов обсуждая все тот же VPN это вообще «легкая прогулка» для них... И так не один день.... и не одну неделю...

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)

Привет.

Вариантов много.

  1. Внедри в код своей страницыы реализацию 2FA. Реализацию можешь посмотреть на iRedMail, OTRS 2FA (ZNUNY). Первая реализована на php, вторая на perl.

  2. Рядом с основным сайтом можешь поставить Nginx-OAUTH-proxy. https://oauth2-proxy.github.io/oauth2-proxy/docs/7.1.x/configuration/overview/

  3. Если компетенция вытягивает и позволяет, то можешь развернуть целую связку KeyCloak + Nginx OAUTH2 proxy + твой сайт.

Nurmukh ★★★
()

Как ограничить доступ к сайту только определенным пользователям?

Можно сделать авторизацию по сертификату. Apache2 и Nginx это умеют.

Можно ли запретить дублирование сертификатов? Скорее всего - да.

HighMan
()