Django - 管理网站 - 如何保护?
我在想,有没有人把管理员网站隐藏起来?有没有人把它放在不同的域名下?或者在和主应用不同的服务器上运行?
如果有一个 /admin/ 的地址,大家都能找到,这样安全吗?虽然它有登录界面和权限检查,但我觉得这并不能完全防止简单的暴力破解攻击,如果我错了请纠正我。
Django的管理员网站保护得怎么样?有什么好的方法来保护它吗?
我找到一个类似的问题,里面的接受答案提到了一些不同的Apache设置或者使用VPN,但在像Heroku或AWS这样的云平台上,你会怎么做呢?
1 个回答
3
我想到的一些方法:
- 确保所有员工都使用复杂的密码(这样可以防止你提到的暴力破解)。
- 把它放到一个子域名上,这样会话就不会共享,你需要单独登录,这样可以稍微提高安全性,特别是如果有人(傻乎乎的)在公共电脑上忘记退出登录的话。设置一个单独的Apache密码(就像你提到的问题中那样)也是一个替代方案。
- 使用HTTPS。如果你和主网站共享会话,那么主网站也需要使用HTTPS。这本来就是个好主意。
- 使用VPN可以限制IP地址,但这需要你和员工们花费不少精力去设置。
在这些方法中,我个人认为复杂密码加上HTTPS对于很多网站来说就足够了。而且强制使用复杂密码相对简单(对于新密码来说),而且无论是对于管理网站,使用HTTPS都是个好主意。