Security

有沒有一種好方法可以保護對整個登台伺服器的訪問?

  • November 7, 2011

我有一個託管多個站點的登台伺服器和生產伺服器(使用 Apache2.2)。目前,我的 DNS 指向stage.domainX.com登台伺服器並*.domainX.com指向生產伺服器。

一切似乎都執行良好,但我希望能夠保護對登台伺服器的訪問。因此,除非是合適的人,否則stage.domainX.com應該禁止嘗試進入的人(如果可能,請轉到生產伺服器)。

而且,我想使用域名而不是 IP,因為我希望客戶端能夠更友好地查看暫存站點(而不是記住 IP 地址)。

有沒有好的方法來處理這個?或者,我是否以不尋常的方式處理暫存域名流程?

PS我實際上想通過埠來管理它,但我還沒有想出辦法來做到這一點。例如,domainX.com:80(標準)用於生產,domainX.com:9000 用於暫存。雖然還沒有找到在 DNS 中執行此操作的方法(使用 GoDaddy 的名稱伺服器/區域)。

使用 Apache,您可以簡單地設置登台伺服器AllowDeny指令來限制對授權 IP 地址的訪問。或者,您可以將整個事情放在 HTTP 身份驗證(使用者名/密碼或客戶端證書,如果您想要真正花哨的話)之後。

使用自定義“未經授權”錯誤頁面將人們重定向到生產站點的獎勵積分。

將 Apache 配置為在不同埠上為暫存站點提供服務也是一種選擇,但這只是“通過默默無聞的安全性”,就像使用stage.domainX.com域一樣——它不會阻止任何人在尋找時找到暫存站點。

<rant>

請注意,更改埠不是您使用 DNS 所做的事情 - 這是一個網路伺服器配置的事情(有關詳細資訊,請參閱 Apache 手冊)。DNS沒有埠號的概念,它只是名稱到 IP(或 IP 到名稱)的映射* - 令人討厭。

  • 有一些有限的例外,例如 SRV 記錄,但我們談論的是A地址和CNAME記錄

</rant>

引用自:https://serverfault.com/questions/254156