Promjena pristupnih listi na AOSI WWW sučelju

AOSI WWW sučelje podešeno je tako da mu se može pristupiti samo s CARNetove mreže (193.198.0.0/16 i 161.53.0.0/16). Time se štiti administratorsko sučelje kojim se dodaju/brišu korisnici u LDAP. Ako za rad kod kuće koristite uslugu nekog drugog davatelja usluga, onda je potrebno dodati i njihove adrese u pristupnu listu AOSI WWW sučelja. To se radi u datoteci /etc/apache/conf.d/aosi-www.conf.

U toj datoteci, na kraju, unutar bloka Directory, stoji:

 

Order deny,allow

Deny from all

Allow from 127.0.0.1/32

Allow from 161.53.0.0/16

Allow from 193.198.0.0/16

 

Tu se doda još neka mreža u CIDR (Classless Inter Domain Routing) notaciji.

Npr, za MaxADSL:

 

Order deny,allow

Deny from all

Allow from 127.0.0.1/32

Allow from 161.53.0.0/16

Allow from 193.198.0.0/16

Allow from 83.0.0.0/8

 

Kada se naprave izmjene, treba restartati Apache web server:

 

# /etc/init.d/apache restart

 

Ako želite u potpunosti maknuti pristupne liste, obrišite (ili bolje zakomentirajte) gore navedeni odjeljak, i restartajte Apache web server.

 

Loša je strana uklanjanja pristupnih listi to što se bilo tko od bilo kuda može pokušati spojiti na administratorsko sučelje, te nekom brute force metodom pokušati doći do lozinke.

 

Ako dozvolite pristup s ADSL adresa, pratite u logovima da li su se pojavili pokušaji provale. Tada razmislite da li vam je pristup od kuće zaista potreban.

 

Kuharice: 
Kategorije: 
Vote: 
0
No votes yet

Komentari

Bilo bi jako korisno kada bi AOSI WWW imao mogućnost da se štiti od "brute force" napada tako što bi se korisnički račun zaključao na neko vrijeme (npr. 1 sat) ako u je u nekom vremenskom intervalu (npr. 5 minuta) bilo više (npr. 10) uzastopnih neuspješnih pokušaja prijave. Tako onda ne bi bilo potrebno ograničavati pristup putem IP-adresa jer je to nepraktično (korisnici i administrator mogli bi se spajati od kuda žele).

Usput, od T-Coma sam dobio podatak da oni sada koriste sljedeće raspone IP-adresa:

78.0.0.0/14      (78.0.0.0 - 78.3.255.255)
83.131.0.0/16    (83.131.0.0 - 83.131.255.255)
89.172.0.0/16    (89.172.0.0 - 89.172.255.255)
195.29.0.0/16    (195.29.0.0 - 195.29.255.255)
194.152.192.0/18 (194.152.192.0 - 194.152.255.255)

Izgleda da se od toga za MaxADSL koriste prva tri raspona.

-- rpr. /Robert Premuž/