IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskuze: Virtuální host a zabezpečení uživatelského přihlášení

Aktivity
Avatar
Petra Nováčková
Člen
Avatar
Petra Nováčková:18.11.2017 23:14

Přeji krásný den, předem se omlouvám, že tu zase otravuji, ale chci se zeptat, jestli byste mi někdo nemohl pomoci.
Mám 2 problémy.

  1. Mám linuxový server, na kterém jede produkční web. Jelikož se tedy IP adresy veřejně známá, potřebovala bych nějak omezit přihlašování. Bude se nás na ten server připojovat asi 10, takže bych potřebovala, aby se tam nemohl připojit nikdo jiný. Asi bych to filtrovala pomocí IP adresy. Co jsem se dívala po netu, tak jsem našla balíče iptables, ale jelikož moje angličtina stojí za nic, tak si tou dokumentací nejsem vůbec jistá a navíc ten server, který potřebujeme zabezpečit, jede na produkci, takže nechci nic pokazit. Mohli byste mi prosím vás napsat, jak povolit přihlašování pouze z některých IP ? Toto filtrování by mělo platit i u autentizace ke sdílené složce nasdílenou přes sambu. Vše ostatní by mělo zůstat bez této filtrace.
  2. Potřebovala bych ten server ještě rozvíjet, což znamená, že bych si potřebovala na tom serveru udělat bokem kopii tohoto webu a pracovat na něm. Bohužel mám problém se zapnutím tohoto webu. Jelikož se náš server ovládá pouze přes příkazovou řádku, tak se ten web testuje dost špatně. Mám ten web ve složce /etc/users/pno­vackova/ tuto složku jsem sdílela přes sambu a mám ji na Windowsu namapovanou jako síťovou jednotku X. Když si zkusím vytvořit virtuálního hosta a v hosts mu zadám místo 127.0.0.1 ip adresu toho servru, tak mě to odkáže na produkční web jako uživatele, ať zadám jako kořenovo složku v konfigurace apache cokoliv. Když to však nechám na 127.0.0.1 a kořenovou složku nastavím na ten namapovaný síťový disk, tak mě to hodí na můj localhost :(

Nevíte prosím vás pěkně, co s tím ?
Předem strašně moc děkuji za Vaše cenné rady.

 
Odpovědět
18.11.2017 23:14
Avatar
Martin Dráb
Tvůrce
Avatar
Odpovídá na Petra Nováčková
Martin Dráb:19.11.2017 1:19

Odpovím na jedničku, jelikož dvojka mi zatím není úplně jasná (ale zkusím ji přečíst zítra znovu a uvidím :-) ).

iptables patří mezi velmi rozšířené firewally, takže ano, rozhodně půjde na tu filtraci použít. Pokud vám přijde příliš složitý, existují i nadstavby, například ufw (myslím, že v Ubuntu je standardně nainstalován).

Teoreticky by se tu nabízela i další možnost zvýšení zabezpečení, a tou je tzv. tunelování portů přes protokol SSH. Sambu nastavíte tak, aby (na serveru) poslouchala jen na localhostu (127.0.0.1), takže se k ní zvenku nepřipojí přímo nikdo. Pokud se někdo bude chtít na tu sambu přihlásit (a např. pracovat s tou sdílenou složkou), bude se muset přihlásit skrz SSH (na Windows se obvykle používá program Putty) a nastavit, že port, na kterém poslouchá na serveru samba, se zobrazí např. na adresu 127.0.0.1 vašeho počítače. Výhody jsou v zásadě dvě:

  1. Samba nepřijímá spojení zvenku, takže pokud by v ní byla chyba (což se v minulosti dělo) umožňující vzdálené ovládnutí serveru, útočník se k ní nemůže napřímo připojit a tuto chybu zneužít (samozřejmě, filtrování IP adres tento problém může řešit za předpokladu, že se k tomu serveru připojujete buď ze stále stejných, nebo málo variabilních adres).
  2. Kdo si chce se sambou povídat, musí se přihlásit (např. skrz Putty) na server, tzn. musí projít autentizací SSH a následně pak samby. SSH dovoluje jednoduše autentizovat i jinak než heslem a při vhodném nastavení tak lze omezit přístup jenom na pár lidí prakticky s vyloučením toho, aby se tam dostal kdokoliv jiný. Chce to ale pravděpodobně více natavování a je otázka, zda by takový přístup pro vaši situaci byl vhodný.
Nahoru Odpovědět
19.11.2017 1:19
2 + 2 = 5 for extremely large values of 2
Avatar
Jan Blažek
Tvůrce
Avatar
Jan Blažek:19.11.2017 8:11

Díky za odpověď! Určitě mi to pomohlo.
Co se týče té dvojky, tak to je jednoduché.
Jde jen o to, jak spustit PHP skript, jehož index je ve složce /etc/users/pno­vackova/neco/ne­co.
Potrebovala bych to rozjet u sebe na windowsech, protože to má grafické rozhraní :) . Potíž je v tom, že apache má korenovou složku úplně někde jinde a já nevím, jak si v mém prohlížeči na windowsu otevřít tuto složku tak, aby se mě zapnula ta daná stránka.

 
Nahoru Odpovědět
19.11.2017 8:11
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 3 zpráv z 3.