Acceso al interfaz Web con user y password

Buenas, propongo.. como medida de seguridad, acceder al entorno web del Giga, mediate usuario y contraseña, no tiene porque ser las definidas en el sistema, se puede crear un .conf con los parametros y el usuario y password. a ser posible que este encriptado.

Es algo, que se echa de menos, viniendo de otros, firm... jeje. ya me entendeis.
porque de esta manera, nos pueden entrar por web y, borrar las grabaciones, y liarla cambiando parametros.

Nose que os parecera, pero me parece una buena idea. no creeis?

Yo no se como tienes tu montado esto tu. Pero yo no accedo a mi giga directamente desde internet, si no que tengo un apache que es publico y hace de proxy hacia el giga. Asi el apache me controla el tema del usuario y la password y accedo por https. Y mi giga esta bien escondidito en casa.

Habia algo en el klone para hacerlo, pero no estoy seguro de porque no se usa en el servidor web del giga.

@AzagraMac
Si te preocupa que te borren las grabaciones o te modifiquen la configuración a través de la interfaz web, ya tienes la opción de desactivarlo.

Respecto a la autorización por usuario, probablemente sí es una buena idea. El problema es que las ideas no se materializan solas y hace falta que alguien se tome la molestia de implementarlas...

N es el echo de que te borren las grabaciones, es el echo de que accedes al giga, a tocar ciertas cosas, sin ningun tipo de seguridad. Porque sino, porque no dejamos abierto el acceso ssh, telnet, ftp, etc.. sin contraseña ni nada. libre acceso de lectura y escritura a todo el sistema.

AL igual que para acceder por ssh nos pide user y password, por web, opino que se deveria por lo menos. pensar. jeje.

Saludos.

Te vuelvo a decir que no se trata de pensarlo, se trata de implementarlo.

La razón por la que puedes proteger el ssh, telnet, ftp por contraseña es que ya está esa funcionalidad en el código del programa y sólo se trata de añadir la configuración.

Aquí no se trata de configurar la autorización de acceso al interfaz web, se trata de escribir el código que permita gestionar esa autorización.

Respecto a lo de "tocar ciertas cosas, sin ningún tipo de seguridad", repito que puedes impedir que nadie toque nada, ni vea nada, de la configuración.

En cualquier caso, nadie te obliga a hacer el interfaz web accesible al mundo. Es tu elección hacerlo.

Ya puestos, ni siquiera estás obligado a activarlo...

Tienes la opción de acceder por ssh al giga y redirigir el puerto 80 de tu localhost al 80 del giga, de esa manera tendrías un puerto de ssh seguro que sería por el que te conectarías y nadie se podría conectar directamente al puerto 80.

Es la misma configuración que el acceso a través de internet al vdradmin, pero cambiando el puerto al 80.

En la wiki lo tienes:
http://www.assembla.com/wiki/show/VDR-M7x0/VDRAdmin-AM_Conexi%C3%B3n_segura_por_internet

Bastaría con cambiar la instrucción de conexión por ssh a:

ssh -p puertoacceso -l root -L 127.0.0.1:80:127.0.0.1:80 direccionipdeaccesoalVDRporinternetroutercasa

(el puerto de acceso es el del ssh no el 80)

Una vez conectado accedes al servidor web escribiendo en el navegador de internet:

http://localhost

Con esta conexión ya no se necesita ningún usuario ni contraseña con el servidor web puesto que la solicitamos a través del ssh. Yo las conexiones remotas que hago tanto con vdradmin como con el servidor web las hago así, y fue en este foro donde lo aprendí.

Si he puesto algún error, indicádmelo para cambiarlo, he colgado el mensaje con un poco de prisa, un saludo,
jb

Me imagino que lo que quiere hacer AzagraMac es acceder desde internet a la web del Giga, redirigiendo un puerto desde el router al puerto 80 del giga.

No veo necesidad de hacer eso, y eso sin mencionar el problema de seguridad que supondría... La opción que expone jb es muy válida. Yo me conecto al ssh de mi router, y redirecciono el puerto 10080 local al puerto 80 del giga (haciéndolo como indica jb, o utilizando el putty para windows), con lo que una vez conectado por ssh pongo en el navegador "http://localhost:10080" y me aparece la web del giga.

Creo que es la forma más segura de hacerlo.

Esa es una opcion valida y segura.
Pero tened en cuenta que quizas estes detras de un firewall y solo este abierto el puerto 80 y el 443.

cambiar el puerto de escucha del giga. en lugar de 80.. el que sea.
Es una opcion.

Seria modificando el archivo /etc/services

Código:

root@m750t:~ # cat /etc/services
ftp      21/tcp
ssh      22/tcp         # SSH Remote Login Protocol
ssh      22/udp         # SSH Remote Login Protocol
telnet      23/tcp
www      80/tcp      http   # WorldWideWeb HTTP
www      80/udp         # HyperText Transfer Protocol
ntp      123/udp
pptpctrl   1723/tcp
netbios-ns 137/udp
netbios-ssn 139/tcp
microsoft-ds 445/tcp
root@m750t:~ #

zjuanma escribió:Esa es una opcion valida y segura.
Pero tened en cuenta que quizas estes detras de un firewall y solo este abierto el puerto 80 y el 443.

Seria cuestion de redirigir el puerto a la IP del Giga. a noser que te conectes desde algun lugar, como puesto de trabajo y no te deje conectarte. por dicho puerto.

AzagraMac escribió:

zjuanma escribió:Esa es una opcion valida y segura.
Pero tened en cuenta que quizas estes detras de un firewall y solo este abierto el puerto 80 y el 443.

Seria cuestion de redirigir el puerto a la IP del Giga. a noser que te conectes desde algun lugar, como puesto de trabajo y no te deje conectarte. por dicho puerto.

No creo que zjuanma se refiera a cambiar el puerto del web del giga o redirigir un puerto del router al puerto web del giga, si no que muchas veces un firewall no nos permite conectarnos al puerto ssh (como pones en el ejemplo del puesto de trabajo).

En mi caso, en el trabajo, hay un firewall que no me permite conectarme al puerto ssh de casa, por lo que en el router cambié este puerto para que fuera uno desde el que puedo salir desde el trabajo... con esto solucionado.

Te refieres, al puerto externo e interno. verdad?



Asi seria por ejemplo.
conectandome al puerto externo, me redireciona al 80 del giga.

atinar escribió:@AzagraMac
Si te preocupa que te borren las grabaciones o te modifiquen la configuración a través de la interfaz web, ya tienes la opción de desactivarlo.

Respecto a la autorización por usuario, probablemente sí es una buena idea. El problema es que las ideas no se materializan solas y hace falta que alguien se tome la molestia de implementarlas...

Creo que AzagraMac hace bien poniendo aquí todas las ideas que se le ocurren. A mi me paso igual al principio y me las echaron por tierra casi todas
Es verdad que hay que implementar las ideas, pero sin estas no se mejoraría nada.
Un saludo

mtps37 escribió:Creo que AzagraMac hace bien poniendo aquí todas las ideas que se le ocurren. A mi me paso igual al principio y me las echaron por tierra casi todas
Es verdad que hay que implementar las ideas, pero sin estas no se mejoraría nada.
Un saludo

Gracias por tu apoyo
El tema es ese. poner ideas, y ver que merece la pena, y que no. y luego... se pasa a probarlo e implantarlo.

Yo no sigo viendo mal, el echo de poner user y password. ademas... de redireccionar el puerto 80

Tened en cuenta que el servidor web del giga no es un apache ni nada parecido, y no sabemos como es de seguro. Lo de abrir a internet directamente (por NAT) el servidor web y exponer el giga quizas no sea tan buena idea. Igual que no es bueno abrirle el telnet o el ftp a internet.

Resumiendo todo lo que se ha dicho yo veo 2 soluciones sin implementar el control de usuario en el propio servidor web del giga, que son faciles y rapidas de llevar a cabo sin tocar nada:

1. El tema de ssh que ha comentado jb.

2. Utilizar otro servidor web (Apache, etc..) que haga de proxy inverso, se encargue de la seguridad (usuario, ssl, etc..) y redirija las peticiones al servidor web del giga. (yo lo tengo asi, y tan ricamente)

AzagraMac escribió:Te refieres, al puerto externo e interno. verdad?



Asi seria por ejemplo.
conectandome al puerto externo, me redireciona al 80 del giga.

Personalmente sólo pondría la redirección del puerto SSH, las otras las quitaría ya que no son seguras.

Lo único que tendrás que hacer luego para conectarte a la web del giga (sin redireccionar el puerto 80 en el router) es establecer una conexión ssh redireccionando el puerto 80 local al puerto 80 del giga (jb ha descrito como hacerlo desde linux, con windows se puede utilizar putty que es gráfico y fácil de usar). Además, con el ssh también se puede utilizar el protocolo sftp, que se trata de un ftp con una capa de cifrado con ssh, para transferir archivos.