Absicherung KeyHelp

[NicoB]

Guten Abend KeyHelp Community,

ich nutze nun KeyHelp schon einige Zeit.

Nun möchte ich es so langsam auch im Business einsetzen, da KeyHelp doch im Vergleich zu den anderen Systemen relativ viel kann.

Da ich den Server natürlich so gut wie möglich absichern möchte würde ich auch gerne KeyHelp also das Webinterface absichern, sprich mit IP Sperre.

Wie würde man das an besten umsetzen?

Schöne Grüße,
Nico

[Fiesi]

Wenn du es absicherst, Wie sollen denn deine Kunden drauf zu greifen?
Oder willste jede Kunden IP als Ausnahme zufügen (wäre das denn auch DSVGO Konform ^^)

[NicoB]

Hätte evtl. dazu schrieben sollen das keine Kunden auf den Server müssen.

Dort müssen nur Firmen interne Mitarbeiter darauf zugreifen, haben Vorort eine Feste IP.

[OlliTheDarkness]

Moin,

2 Quick & Dirty Versionen durch Änderung in der keyhelp.conf (/etc/apache2/keyhelp/keyhelp.conf)

Version 1:

Code: Select all

    # keyhelp
    <Directory "/home/keyhelp/www/keyhelp">
        # protect license file
        <Files "license.txt">
            Require all denied    
        </Files>
        Require all granted   <<< ersetzen durch Require ip 1.2.3.4   (Natürlich deine feste IP)
        AllowOverride All
    </Directory>

Version 2

Code: Select all

# keyhelp / tools
<VirtualHost *:443>
    ServerName serv1.example.com
    ServerAdmin Webmaster@example.com

    DocumentRoot /home/users/benutzer/www     <<<< Leitet alle unbekannten Anfragen dahin um statt zum KH Login

#    DocumentRoot /home/keyhelp/www/keyhelp

    Options -Indexes
    SuexecUserGroup "keyhelp" "keyhelp"

    # logging
    LogLevel warn
    CustomLog "|/usr/local/keyhelp/anonymize_ip ${APACHE_LOG_DIR}/keyhelp/access.log" combined
    ErrorLog "|/usr/local/keyhelp/anonymize_ip ${APACHE_LOG_DIR}/keyhelp/error.log"

    # ssl
    SSLEngine On
    SSLCertificateFile /etc/ssl/keyhelp/keyhelp.pem
    SSLCertificateChainFile /etc/ssl/keyhelp/keyhelp-ca.crt

    # hsts
    # <IfModule mod_headers.c>
    #     Header set Strict-Transport-Security "max-age=15768000;"
    # </IfModule>

    # alias
    Alias /awstats-icons "/usr/share/awstats/icon"
    Alias /phpmyadmin    "/home/keyhelp/www/phpmyadmin"
    Alias /webmail       "/home/keyhelp/www/webmail"
    Alias /webstats      "/home/keyhelp/www/kh.webstats"
    Alias /Interner-zugriff      "/home/keyhelp/www/keyhelp"      <<<<<<< Macht KH nur über example.com/Interner-zugriff erreichbar

Variante 2 kann man auch mit 1 zusammen nutzen als gutes ganzes.

Wie gesagt, ist ne Quick & Dirty Lösung auf schnell.
Liefe KH auf einem eigenen Port, könnte man das ganze easy mit ner Firewall Regel beschränken.
Das ganze ist natührlich nicht Update sicher.

Nun darf mich die Community in der Luft zerreißen ^^

Grüße aus dem Ruhrpott

[NicoB]

Guten Abend OlliTheDarkness,

die Idee(Version 2) hatte ich auch schon und habe ebenfalls die Bedenken das es danach nicht mehr Update sicher ist.

Werde es mal mit der Version 1 versuchen

Danke schon mal

[OlliTheDarkness]

Moin ^^

um das ganze bei Variante 1 noch zu verschönern kannst noch

Code: Select all

ErrorDocument 403 URL (z.B https://google.de)

hinzufügen damit falls jemand auf die KH Adresse zugreift der keinen Zugriff haben soll (durch die IP Beschränkung) direkt weg auf eine Seite deiner Wahl geleitet wird.