Keyhelp Zugriff auf IP beschränken

[v3ng]

Hi,
Wir nutzen Keyhelp rein headless über die API Schnittstelle.
Zugriffe finden demnach ausschließlich seitens des Admins statt.

Aus diversen Gründen möchten wir das Login Form beim Aufruf des Hostnamen/ IP Adresse nur ausliefern, wenn die request von einer zuvor definierten IP stammt, ansonsten soll lediglich der statuscode 403 zurückgegeben werden.

Prinzipiell ja recht einfach mittels einer htaccess bzw dem vHost möglich.

Die Frage ist nur wie ich das auch updatesicher hinbekomme, da Keyhelp standardmäßig ja recht viel überschreibt.


Mir ist durchaus bewusst, dass der Admin Login auf eine IP begrenzt werden kann, ich möchte allerdings Keyhelp prinzipiell nur ausliefern, wenn der request von der richtigen IP kommt

Hat hier jemand eine Idee?

Danke!

[Tobi]

Nicht probiert, sollte aber funktionieren.

Du beschränkst den Zugriff aufs Panel auf die SERVER-IP und legst einen eigenen VHost als ReverseProxy an.
Dann kannst du den Zugriff beliebig manipulieren.

Es könnte sein, dass KeyHelp sich weigert die SERVER-IP zu speichern, weil du dich ja dann selbst aussperren würdest.
In dem Fall erstmal deine aktuelle IP eintragen und anschließend in der DB auf die SERVER-IP ändern.

Viel Spaß beim Basteln!

[v3ng]

Ich würde die IP einfach auf die IP unseres VPNs beschränken, ein reverse Proxy sollte da ja nicht nötig sein.
Die Frage wäre nur, wie ich das am besten konfiguriere, dass das auch nach updates oder config rewrites bestehen bleibt.

Vielleicht hat @Alexander hier eine Idee?

[Jolinar]

Wenn es nun nicht unbedingt der 403er beim unauthorisierten Zugriffsversuch sein muß, könntest du das eventuell auch über die 2FA abfangen...

[Alexander]

Vielleicht auch nur einfach mittels Cronjob alle paar Stunden überprüfen, ob eine .htaccess Datei in /home/keyhelp/www/keyhelp/ exitiert.
Falls nein, dann legst du sie an mit dem Inhalt "Nur IP XY darf zugreifen". Im Zuge eines KeyHelp-Updates wird der genannte Ordner ausgetauscht, deswegen legst du diesen Cronjob am Besten so, dass er immer nach deinem eingestellten Control-Panel-Update Wartungsintervall + 1 Stunde läuft.

[v3ng]

Vielleicht auch nur einfach mittels Cronjob alle paar Stunden überprüfen, ob eine .htaccess Datei in /home/keyhelp/www/keyhelp/ exitiert.
Falls nein, dann legst du sie an mit dem Inhalt "Nur IP XY darf zugreifen". Im Zuge eines KeyHelp-Updates wird der genannte Ordner ausgetauscht, deswegen legst du diesen Cronjob am Besten so, dass er immer nach deinem eingestellten Control-Panel-Update Wartungsintervall + 1 Stunde läuft.

Danke, das wäre natürlich eine Idee!

Folgendes funktioniert soweit prima, die Frage wäre nur, wie ich bei Requests zur API allow from all setzte, kennt da jemand spontan den Syntax?

Code: Select all

order deny,allow
deny from all
allow from IPV4
allow from IPV6

[Tobi]

Folgendes funktioniert soweit prima, die Frage wäre nur, wie ich bei Requests zur API allow from all setzte, kennt da jemand spontan den Syntax?

https://letmegooglethat.com/?q=allow+si ... e+htaccess

[v3ng]

Folgendes funktioniert soweit prima, die Frage wäre nur, wie ich bei Requests zur API allow from all setzte, kennt da jemand spontan den Syntax?

https://letmegooglethat.com/?q=allow+si ... e+htaccess

Naja das problem ist ja, dass die <Directory> setting in der htaccess nicht funktioniert, ich also wohl auf regex zurückgreifen muss.

Edit:
Ich habe jetzt erstmal zusätzlich allow from all in die bestehende .htaccess im api folder gepack.
Wenn jemand aber eine Idee hat, wie der Syntax aussehen muss, um in der keyhelp/.htaccess requests an die API generell zu akzeptieren gerne raus damit

Code: Select all

# Restrict access to Keyhelp panel to IP

# Allowed IPs
SERVER_IPV4=""
SERVER_IPV6=""

echo "order deny,allow
deny from all
# Allow VPN IP
allow from $SERVER_IPV4
allow from $SERVER_IPV6" > /home/keyhelp/www/keyhelp/.htaccess
# Allow from all for API requests
echo "allow from all" >> /home/keyhelp/www/keyhelp/api/.htaccess