Ich dachte, ich könnte es beschränken, um nur auf einige IPs zu zeigen, aber ich habe einige freiberufliche Arbeiter ohne statische IPs, die in der Lage sein sollten, sich auf Admin-Seite einzuloggen. Ich habe ein großes Projekt ausgerollt und suche nach Wegen, die Admin-Seite vor unerwünschten Augen zu schützen.Wie schützen Sie die Django Admin-Site?
Wenn Sie es hinter Apache ausführen, können Sie eines seiner vielen Module für HTTP-Authentifizierung verwenden (es gibt ähnliche Module für andere Server). Auf diese Weise kann der Benutzer nicht einmal auf die Anmeldeseite gelangen, ohne sich einzuloggen.
Eine weitere Option wäre, den Zugriff von Remote-URLs zu blockieren und Benutzer zu veranlassen, ein VPN für den Zugriff auf die Admin-Seiten zu verwenden. (Ich denke, das wäre zu viel Aufwand)
Wir haben eine Website, wo die Admin-Schnittstelle auf einer separaten Domäne ist, es versteckt nichts, sondern hält sie getrennt.
1) Einschränken durch IPs. Dies ist in Ihrem Fall möglicherweise nicht vollständig möglich, aber Sie können trotzdem nur einige Subnetze zulassen. Ich denke nicht, dass Ihre Benutzer zwar dynamische IPs haben, aber ihre IPs aus demselben Subnetz erhalten, wenn sie immer auf dasselbe Netzwerk zugreifen. Dies kann das Risiko verringern, vollständig offen zu sein.
2) Ändern Sie die Standard-Admin-URL in etwas, das nicht offensichtlich ist.
Wir kämpfen jetzt mit dieser Frage. Wir haben anfangs den Zugriff durch IPs beschränkt, wurden jedoch (nach der Abmeldung des Clients) aufgefordert, die Einschränkung zu deaktivieren. Wir haben zur Zeit Digest-Auth auf dem Admin. Wir erwägen die Beschränkung des Anmeldeversuchs und Mindestanforderungen für die Passwortstärke. Ich glaube, dies wären wichtige Schutzmaßnahmen, da der Schutz des Administrators Schutz vor schlechten Passwort-Entscheidungen bietet.
Zeit und Budget zulässt, können wir mod_security für viele Dinge ansehen, einschließlich IP-Adressen-Reputation (Geolocation), Blacklisting und Brute-Force-Angriffserkennung.
Ändern der URL-Zuordnung von urls.py kann helfen? wie http://yoursite.com/helloworld, um auf das Admin-Portal zuzugreifen !!! – shahjapan