Как защитить сайт администратора django?

Я думал, что могу ограничить его показом только на некоторых IP-адресах, но у меня есть работники-фрилансеры без статических IP-адресов, которые должны иметь возможность входа на сайт администратора. Я выложил большой проект, и я ищу способы защитить сайт администратора от нежелательных глаз.

Ответ 1

Если вы используете его за apache, вы можете использовать один из своих многочисленных модулей для проверки подлинности HTTP (для подобных серверов есть аналогичные модули). Таким образом, пользователь не может даже попасть на страницу входа без входа.

Другой вариант - заблокировать весь доступ с удаленного URL-адреса и потребовать от пользователей использовать VPN для доступа к страницам администратора. (Я думаю, что это было бы слишком большим количеством хлопот)

У нас есть сайт, где интерфейс администратора находится в отдельном домене, он ничего не скрывает, но сохраняет их отдельно.

Ответ 2

1) Ограничение по IP. Это может быть не совсем возможно в вашем случае, но вы можете смотреть только на несколько подсетей, я не думаю, что даже если ваши пользователи имеют динамический IP, они, скорее всего, получат свой IP-адрес из той же подсети, если каждый раз получат доступ к одной сети. Это может снизить риск полного раскрытия.

2) Измените URL-адрес администратора по умолчанию на что-то неочевидное.

Ответ 3

Мы боремся с этим вопросом прямо сейчас. Сначала мы ограничивали доступ с помощью IP-адресов (после подписания клиентом) было предложено отключить ограничение. В настоящее время у нас есть дайджест на вершине администратора. Мы рассматриваем настройку попытки входа в систему и минимальные требования к надежности пароля. Я считаю, что это будет важная защита, так как защита администратора включает защиту от неправильного выбора пароля.

Разрешаем время и бюджет, мы можем посмотреть на mod_security для многих вещей, включая обнаружение репутации IP-адреса (геолокации), "черный список" и "грубая сила".