Ho pensato che potrei limitarlo a mostrare solo su alcuni IP, ma ho alcuni lavoratori freelance senza IP statici che dovrebbero essere in grado di accedere al sito di amministrazione. Ho lanciato un grande progetto e sto cercando alcuni modi per proteggere il sito di admin dagli sguardi indesiderati.Come proteggi il sito admin di django?
risposta
Se lo si sta eseguendo dietro apache, è possibile utilizzare uno dei suoi numerosi moduli per l'autenticazione HTTP (esistono moduli simili per altri server). In questo modo l'utente non può nemmeno accedere alla pagina di accesso senza effettuare il login.
Un'altra opzione sarebbe quella di bloccare tutti gli accessi da URL remoti e richiedere agli utenti di utilizzare una VPN per accedere alle pagine di amministrazione. (Penso che questo sarebbe troppo grande di una seccatura)
Abbiamo un sito in cui l'interfaccia di amministrazione è su un dominio separato, non nasconde nulla ma li mantiene separati.
1) Limitato da IP. Questo potrebbe non essere del tutto possibile nel tuo caso, ma puoi comunque controllare solo alcune sottoreti, ma non credo che i tuoi utenti abbiano IP dinamici e molto probabilmente avranno i loro IP dalla stessa sottorete se accedono alla stessa rete ogni volta. Ciò potrebbe ridurre il rischio di essere totalmente aperti.
2) Modificare l'URL di amministrazione predefinito su qualcosa di non ovvio.
Stiamo litigando con questa domanda adesso. All'inizio abbiamo limitato l'accesso tramite IP, tuttavia (dopo la disattivazione del client) è stato chiesto di disattivare la restrizione. Al momento abbiamo l'autorizzazione di digest sopra l'amministratore. Stiamo considerando la limitazione del tentativo di accesso e i requisiti minimi di sicurezza della password. Credo che queste sarebbero protezioni rilevanti in quanto la protezione dell'amministratore include la protezione contro scelte errate delle password.
Tempo e budget permettendo possiamo guardare mod_security per molte cose, tra cui la reputazione degli indirizzi IP (geolocalizzazione), la blacklist e il rilevamento degli attacchi di forza bruta.
- 1. Collegamento al sito admin di django
- 2. admin Django DoesNotExist at/admin/
- 3. Sito amministratore: TemplateDoesNotExist at/admin/
- 4. Sinatra Web Admin (come Django Admin)
- 5. Django Admin - Re-authentication?
- 6. Django fix Admin plurale
- 7. Come spostare il modello nell'altra sezione nel sito di Django admin
- 8. Django Admin non ha stile
- 9. Django admin, nasconde un modello
- 10. Django admin: override di metodo
- 11. Ordine di ordinamento Django admin
- 12. Come estendere la visualizzazione admin di django?
- 13. WMD in Django Admin?
- 14. admin Django list_display newline
- 15. Django Admin Fieldsets
- 16. django: using admin datepicker
- 17. Override del metodo di autenticazione - Django admin
- 18. Django admin - ordinamento list_filter
- 19. Come cambiare il logo admin di django wagtail
- 20. Django Admin in Angularjs
- 21. Django Admin CSS mancante
- 22. Django Admin Ottimizzazione ricerca
- 23. Django Admin linea: select_related
- 24. admin condizionale Django list_editable
- 25. Django - Admin: list_display TextField
- 26. Django admin list filter
- 27. Pagina di Django Admin non trovata in/admin/
- 28. Come aggiungere linea di sola lettura su Django Admin
- 29. Come impostare django upload_handler in admin?
- 30. Django Admin: OneToOne Relazione come Inline?
cambiare la mappatura URL da urls.py può aiutare? come http://yoursite.com/helloworld per accedere al portale di amministrazione !!! – shahjapan