10
我想我可能會限制它只顯示在某些IP上,但我有一些沒有靜態IP的自由職業者應該能夠登錄到管理站點。我推出了一個大項目,我正在尋找一些方法來保護管理網站不受歡迎的眼睛。如何保護django管理網站?
A
回答
3
如果你正在運行它背後Apache服務器中,可以使用其進行HTTP認證許多模塊之一(還有其它服務器的類似模塊)。這樣,用戶甚至無法登錄頁面沒有登錄界面,在。
另一種選擇是,以阻止來自遠程URL的所有訪問,並要求用戶使用VPN來訪問管理頁面。 (我認爲這將是太大的麻煩)
我們有一個網站,管理界面是一個單獨的領域,它不會隱藏任何東西,但讓他們分開。
2
1)IP限制。這可能不是完全可能的,但你仍然可以只看到幾個子網,我不認爲即使你的用戶有動態IP,如果每次訪問同一網絡,他們最有可能從同一子網獲得IP。這可能會降低完全打開的風險。
2)將默認管理員URL更改爲非顯而易見的內容。
1
我們現在正在與這個問題搏鬥。我們最初限制了IP的訪問,但是(客戶端簽署之後)被要求關閉限制。我們目前在管理員之上擁有摘要身份驗證。我們正在考慮登錄嘗試限制和最低密碼強度要求。我相信這些將是相關的保護措施,因爲保護管理員包括防止密碼選擇不當。
時間和預算允許,我們可以看mod_security的很多事情,包括IP地址信譽(地理位置),列入黑名單,並強力攻擊檢測。
從urls.py更改URL映射可能有幫助嗎?像http://yoursite.com/helloworld訪問管理門戶! – shahjapan 2010-10-04 17:03:39