Ich dachte, ich könnte es beschränken, um nur auf einige IPs zu zeigen, aber ich habe einige freiberufliche Arbeiter ohne statische IPs, die in der Lage sein sollten, sich auf Admin-Seite einzuloggen. Ich habe ein großes Projekt ausgerollt und suche nach Wegen, die Admin-Seite vor unerwünschten Augen zu schützen.Wie schützen Sie die Django Admin-Site?
Antwort
Wenn Sie es hinter Apache ausführen, können Sie eines seiner vielen Module für HTTP-Authentifizierung verwenden (es gibt ähnliche Module für andere Server). Auf diese Weise kann der Benutzer nicht einmal auf die Anmeldeseite gelangen, ohne sich einzuloggen.
Eine weitere Option wäre, den Zugriff von Remote-URLs zu blockieren und Benutzer zu veranlassen, ein VPN für den Zugriff auf die Admin-Seiten zu verwenden. (Ich denke, das wäre zu viel Aufwand)
Wir haben eine Website, wo die Admin-Schnittstelle auf einer separaten Domäne ist, es versteckt nichts, sondern hält sie getrennt.
1) Einschränken durch IPs. Dies ist in Ihrem Fall möglicherweise nicht vollständig möglich, aber Sie können trotzdem nur einige Subnetze zulassen. Ich denke nicht, dass Ihre Benutzer zwar dynamische IPs haben, aber ihre IPs aus demselben Subnetz erhalten, wenn sie immer auf dasselbe Netzwerk zugreifen. Dies kann das Risiko verringern, vollständig offen zu sein.
2) Ändern Sie die Standard-Admin-URL in etwas, das nicht offensichtlich ist.
Wir kämpfen jetzt mit dieser Frage. Wir haben anfangs den Zugriff durch IPs beschränkt, wurden jedoch (nach der Abmeldung des Clients) aufgefordert, die Einschränkung zu deaktivieren. Wir haben zur Zeit Digest-Auth auf dem Admin. Wir erwägen die Beschränkung des Anmeldeversuchs und Mindestanforderungen für die Passwortstärke. Ich glaube, dies wären wichtige Schutzmaßnahmen, da der Schutz des Administrators Schutz vor schlechten Passwort-Entscheidungen bietet.
Zeit und Budget zulässt, können wir mod_security für viele Dinge ansehen, einschließlich IP-Adressen-Reputation (Geolocation), Blacklisting und Brute-Force-Angriffserkennung.
- 1. Django adminsite anpassen search_fields query
- 2. Django AdminSite - Schwierige oder einfache Implementierung?
- 3. So schützen Sie URLs in Django
- 4. Schützen Sie Winkeleigenschaften
- 5. Meine Apps sind bei Verwendung von benutzerdefiniertem AdminSite nicht sichtbar
- 6. Bilder schützen, wie?
- 7. Passwort schützen die Anwendungen Schaltfläche
- 8. So schützen Sie vor Überflutung
- 9. Schützen Sie Faltmarker in Vim
- 10. Schützen Sie die Datenbank im Offline-C# -Projekt
- 11. Flash-Video vom Download schützen/rechts schützen
- 12. So schützen Sie eine Datei in Windows
- 13. So schützen Sie Quellcode in Elektron Projekt
- 14. Schützen Sie Excel-Datei mit Java
- 15. Schützen Sie Videodatei von direktem externem Download
- 16. Schützen Sie Daten mit iPhone-Anwendung verteilt
- 17. Schützen Sie iPhone App vor Hackern
- 18. Wie schützen .env Datei Laravel
- 19. Wie JavaScript-Funktion zu schützen?
- 20. So schützen Sie iOS-Bundle-Dateien
- 21. So schützen Sie SQLite-Datenbank vor Korruption
- 22. Schützen Sie web.config Abschnitt außerhalb der Webanwendung
- 23. Können Sie verschachtelte Klassen in C++ schützen?
- 24. Können Sie Verbindungsserver vor Sicherheitsrisiken schützen?
- 25. Schützen Sie Dateien vor SVN commit
- 26. wie URL-Zeichenfolge zu schützen, die von GET in PHP
- 27. die Datei PHPExcel mit Excel schützen
- 28. Wie kann ich die Wordpress-Site mit einem Passwort schützen?
- 29. Wie schützen Sie eine Datenbank mit Links vor dem Scraping?
- 30. So schützen Sie plist oder NSUserDefaults
Ändern der URL-Zuordnung von urls.py kann helfen? wie http://yoursite.com/helloworld, um auf das Admin-Portal zuzugreifen !!! – shahjapan