这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
这是一个创建于 2129 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近在撸一个个人博客,后台管理想类似 WordPress 那种部署到服务器上用密码登录。
关于这个密码我是这么打算的:
登录后台,数据库中不存在有效密码时,无论输入什么密码都返回密码错误。
正确的密码需要 ssh 到服务器后台,执行一个脚本生成有效期 30s 的密码,写入数据库,在该密码有效期内输入才能成功登录后台。后台登录时从数据库中查询。退出时清空密码。
在不知道密码的情况下,似乎只有两种办法登录后台:
1.在我执行该脚本后的 30s 内猜对密码
2.拿到服务器登录权限
看起来还挺安全的。
V 友们感觉这个想法可行否?或者有没有什么更好的建议🤔
关于这个密码我是这么打算的:
登录后台,数据库中不存在有效密码时,无论输入什么密码都返回密码错误。
正确的密码需要 ssh 到服务器后台,执行一个脚本生成有效期 30s 的密码,写入数据库,在该密码有效期内输入才能成功登录后台。后台登录时从数据库中查询。退出时清空密码。
在不知道密码的情况下,似乎只有两种办法登录后台:
1.在我执行该脚本后的 30s 内猜对密码
2.拿到服务器登录权限
看起来还挺安全的。
V 友们感觉这个想法可行否?或者有没有什么更好的建议🤔
第 1 条附言 · 2019-01-09 12:06:28 +08:00
感谢各位的意见和建议,我还是做一个两步验证吧🌚
 |
1
alvin666 2019-01-09 01:15:14 +08:00 via Android  1
不嫌麻烦吗
闲得肝疼... |
 |
3
icekingcy 2019-01-09 01:21:16 +08:00 via iPhone
那就不要把后台放到服务器上,前后台分开,前台数据库账户只读权限,本地搭建后台远程数据库且每次远程连数据库给定个 IP 且密码尽量复杂 数据库改端口
|
 |
4
d3vil 2019-01-09 01:37:20 +08:00 via iPhone
搞个短信验证码登录不就得了
|
 |
5
ra1983 2019-01-09 01:40:40 +08:00 via Android 1
难道不是应该用 2-step verification 么
|
 |
7
LU35 2019-01-09 01:52:46 +08:00 via Android 2
小偷并不是只从正门进你家。
|
 |
8
ladypxy 2019-01-09 05:18:15 +08:00 via iPhone 1
想安全就开两步认证,而不是搞这么蛋疼的步骤
|
 |
9
saucerman 2019-01-09 05:34:03 +08:00 via Android
没必要,这种措施只能阻止登录后台,实际上设置一个比较复杂的密码就可以抵抗爆破了,搞这么复杂作用不大
|
 |
10
SunnyLyx 2019-01-09 06:51:16 +08:00 via Android
目前我的策略是,从 cdn/nginx 中设置只允许代理的 IP 访问后台。
把正门和侧门都封了(但是不知道能不能爬窗进来...) |
 |
11
yingfengi 2019-01-09 08:13:15 +08:00 via Android
我的密码我自己都不知道,随机生成的,浏览器记住密码。
|
 |
12
Showfom 2019-01-09 08:24:56 +08:00
你是藏了什么宝藏在你服务器上么= =
|
 |
13
5CanTell 2019-01-09 09:04:31 +08:00
可以,但没必要
|
 |
14
jookr 2019-01-09 09:09:13 +08:00 1
你的想法我懂
如果你懂 php 可以用个自定义 user-agent 的浏览器插件自定义字符串(我用的叫魔变),然后在网站后台代码里判断如果没有这个字符串就报错。 ``` if (!stripos($_SERVER['HTTP_USER_AGENT'], '你的字符串')) { abort(404, '页面不存在'); } ``` |
 |
15
stzz 2019-01-09 09:12:36 +08:00
花里胡哨
|
 |
16
liuxey 2019-01-09 09:16:10 +08:00
思想很发散,让我想到了日本网友的各种无聊发明,在 web 安全认证方面已经有很好的方案而且安全等级明显是够的,如果 ssh 都被人拿了,神仙也救不了
|
 |
17
FreeEx 2019-01-09 09:18:45 +08:00 via iPhone
你服务器上有金子?而且脚本小子攻击网站也不是这样玩的,除非你登陆没验证码。
|
 |
18
yzkcy 2019-01-09 10:18:13 +08:00
可以,但是没必要。
|
 |
20
wwhc 2019-01-10 04:27:02 +08:00
单就密码而言,密码长度超过 20 个字节,再加上 Fail2ban,还是担心一下代码的漏洞吧
|
 |
21
iLtc 2019-01-10 10:47:41 +08:00 1
你这个操作让我想到了 Plesk 的一次性登陆链接。在服务器命令行 plesk login 会生成一个类似于 https://<your server IP>:8443/login?secret=1LmJ4VaAnV4K%2Bnslg%2B4Axk03x2t%2 的登陆链接,点击即可登陆。
|
 |
22
009694 2019-01-14 02:49:26 +08:00 via iPhone
后台页面用双向证书验证吧
|
 |
23
Eugene1024 2019-01-14 10:28:25 +08:00
大佬吃了饭没事干才会打小网站
|
 |
24
raphael008 2019-01-14 11:15:02 +08:00
目前的做法是起一个 kcp 服务,然后就是 localhost 了🤣
|
Select Language