Ego-Ale-Sum
10.10.2009, 20.41
la cartella admin sarebbe quella del tuo script (es. il pannello di amministrazione di joomla, phpBB, wordpress ecc)? oppure intendi il set di strumenti per la gestione del server? (ad esempio phpmyadmin?)
in ogni caso, alcuni consigli che mi vengono in mente:
1. se puoi farlo, sposta la cartella admin su un altro dominio (evita i sottodomini del tuo dominio... ad esempio, potresti usare il dominio che ti ha dato OVH - quello tipo ns12345.ovh.net ). proteggi poi con SSL quel virtualhost, e fa in modo che senza SSL non si veda niente. non è necessario che acquisti un certificato SSL: se vuoi risparmiare, ne puoi usare uno firmato da te. questo è utile anche per proteggere le password che invii ecc. phpMyAdmin può essere spostato senza problemi, mentre se è un pannello di amministrazione di uno script non sempre è possibile. ah, non usare nomi come "admin" e "phpMyAdmin" per i percorsi ci sono dei bot che vanno proprio alla ricerca di queste cartelle... ad esempio, potresti mettere "php_my_admin" ecc. questo non è un meccanismo di sicurezza vero: è più un offuscamento. ma è un buon punto di partenza. in ogni caso, SSL ti protegge anche mentre amministri il server.
2. http://www.fail2ban.org/wiki/index.php/Main_Page <- questo ti può interessare se usi l'autenticazione di apache (con gli .htaccess), questo è oro
ciao!
in ogni caso, alcuni consigli che mi vengono in mente:
1. se puoi farlo, sposta la cartella admin su un altro dominio (evita i sottodomini del tuo dominio... ad esempio, potresti usare il dominio che ti ha dato OVH - quello tipo ns12345.ovh.net ). proteggi poi con SSL quel virtualhost, e fa in modo che senza SSL non si veda niente. non è necessario che acquisti un certificato SSL: se vuoi risparmiare, ne puoi usare uno firmato da te. questo è utile anche per proteggere le password che invii ecc. phpMyAdmin può essere spostato senza problemi, mentre se è un pannello di amministrazione di uno script non sempre è possibile. ah, non usare nomi come "admin" e "phpMyAdmin" per i percorsi ci sono dei bot che vanno proprio alla ricerca di queste cartelle... ad esempio, potresti mettere "php_my_admin" ecc. questo non è un meccanismo di sicurezza vero: è più un offuscamento. ma è un buon punto di partenza. in ogni caso, SSL ti protegge anche mentre amministri il server.
2. http://www.fail2ban.org/wiki/index.php/Main_Page <- questo ti può interessare se usi l'autenticazione di apache (con gli .htaccess), questo è oro
ciao!