Re: [rlug] apache allow from dynamic ip
2010/6/7 Alex 'CAVE' Cernat c...@cernat.ro: vpn sau auth (plain, digest, certificate ssl) vpn e cam exclus, auth deja exista, dar voiam o chestie in plus, pentru ca oricum ce e pe http normal se poate intercepta usor, iar ce e pe ssl pana la urma exista si brute force, si nu se stie cat de strong sunt parolele unor minunati utilizatori; de aia preferam si un test de ip, care unde este fix e banal, dar unde e dinamic e cam cu durere cu certificatul ssl ar fi interesant, dar iarasi cere ceva disciplina a utilizatorilor, ceea ce e si nu prea e De ce nu incerci cu SSL Client certificates asa cum ti-a sugerat Petru? Mircea Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
[rlug] apache allow from dynamic ip
Salut Incerc sa gasesc o solutie de allow access pentru apache de la un ip dinamic (mdea, stiu, erdeeshi). M-am uitat prin documentatia de apache, dar la allow from hostname practic se bazeaza pe reversul oferit de provider, deci cutzu. Oricum n-ar functiona pentru face forward(reverse) care nu exista. Pana acum cea mai buna solutie la care ma gandesc e ca la schimbarea ip-ului (detectia schimbarii nu e o problema, aia se rezolva rapid) sa dau reload la apache (dupa ce se fac modificarile de rigoare), dar sincer nu mi se pare o idee prea stralucita (din pacate pana acum e singura pe care am gasit-o). Are cineva vreo idee mai buna ? 10x Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] apache allow from dynamic ip
2010/6/7 Alex 'CAVE' Cernat c...@cernat.ro: Salut Incerc sa gasesc o solutie de allow access pentru apache de la un ip dinamic (mdea, stiu, erdeeshi). M-am uitat prin documentatia de apache, dar la allow from hostname practic se bazeaza pe reversul oferit de provider, deci cutzu. Oricum n-ar functiona pentru face forward(reverse) care nu exista. Pana acum cea mai buna solutie la care ma gandesc e ca la schimbarea ip-ului (detectia schimbarii nu e o problema, aia se rezolva rapid) sa dau reload la apache (dupa ce se fac modificarile de rigoare), dar sincer nu mi se pare o idee prea stralucita (din pacate pana acum e singura pe care am gasit-o). Are cineva vreo idee mai buna ? vpn sau auth (plain, digest, certificate ssl) -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] apache allow from dynamic ip
vpn sau auth (plain, digest, certificate ssl) vpn e cam exclus, auth deja exista, dar voiam o chestie in plus, pentru ca oricum ce e pe http normal se poate intercepta usor, iar ce e pe ssl pana la urma exista si brute force, si nu se stie cat de strong sunt parolele unor minunati utilizatori; de aia preferam si un test de ip, care unde este fix e banal, dar unde e dinamic e cam cu durere cu certificatul ssl ar fi interesant, dar iarasi cere ceva disciplina a utilizatorilor, ceea ce e si nu prea e Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] apache allow from dynamic ip
2010/6/7 Alex 'CAVE' Cernat c...@cernat.ro: vpn sau auth (plain, digest, certificate ssl) vpn e cam exclus, auth deja exista, dar voiam o chestie in plus, pentru ca oricum ce e pe http normal se poate intercepta usor, iar ce e pe ssl pana la urma exista si brute force, si nu se stie cat de strong sunt parolele unor minunati utilizatori; de aia preferam si un test de ip, care unde este fix e banal, dar unde e dinamic e cam cu durere cu certificatul ssl ar fi interesant, dar iarasi cere ceva disciplina a utilizatorilor, ceea ce e si nu prea e Pai formuleaza si tu ce test vrei sa faci, in conditiile in care iti vine userul de pe un ip pe care numai rds il stie (daca il stie). Daca te pasioneaza rau de tot scarpinatul intensiv in locuri moi, poti face ceva hook la autentificare in mod_perl (da' parca si mod_python stie de-astea) care sa verifice daca e luna plina si daca userul si-a papat recent grisuletul, dar mi se pare ca vanezi muste cu tunul (mai ales in conditiile in care afair rds iti da ip fix daca faci upgrade la abonament business, de cativa dolari pe luna in plus). _sau_ faci ceva schema cu un cookie setat pe alt url si auth sau mod_rewrite bazat pe cookieul ala (dar e cam aceeasi frectie). Daca te gandeai cumva la servicii de-alea de home ip, e fix aceeasi chestie, te cam imbeti cu apa rece dpdv security. -- Petre. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] apache allow from dynamic ip
S-ar putea ca daca directivele de acces la directorul ala le pune intr-un .htaccess sa nu mai aiba nevoie de reload. Desigur, tot iti trebuie un script extern care din cind in cind sa regenereze .htaccess pentru noua adresa. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] apache allow from dynamic ip
On 6/7/2010 2:28 PM, Vali Dragnuta wrote: S-ar putea ca daca directivele de acces la directorul ala le pune intr-un .htaccess sa nu mai aiba nevoie de reload. Desigur, tot iti trebuie un script extern care din cind in cind sa regenereze .htaccess pentru noua adresa. Mda, nu sunt mare fan (de fapt sunt anti-fan) .htaccess, dar in cazul asta cred ca ar fi o solutie buna (cel putin cea mai buna pana acuma). Mersi Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] apache allow from dynamic ip
Daca te pasioneaza rau de tot scarpinatul intensiv in locuri moi, poti face ceva hook la autentificare in mod_perl (da' parca si mod_python stie de-astea) care sa verifice daca e luna plina si daca userul si-a papat recent grisuletul, dar mi se pare ca vanezi muste cu tunul (mai ales in conditiile in care afair rds iti da ip fix daca faci upgrade la abonament business, de cativa dolari pe luna in plus). Din cate stiu diferenta era mult mai mare, plus ca pentru anumiti luzeri era mai greu de convins sa-si bage banii in erdeesh. Dar intr-adevar e de vazut. Preferam sa nu incarc aiurea module de mod_perl, iar serpisorii clar nu sunt prietenii mei. _sau_ faci ceva schema cu un cookie setat pe alt url si auth sau mod_rewrite bazat pe cookieul ala (dar e cam aceeasi frectie). Daca te gandeai cumva la servicii de-alea de home ip, e fix aceeasi chestie, te cam imbeti cu apa rece dpdv security. Asta cu cookie ar putea fi interesant (preluat apoi cu setenvif si allow from env=), dar pana la urma e cam frectie la picior de lemn, pentru ca un cookie poti sa-l setezi foarte usor, si atunci degeaba mai ma chinui, mai bine dau la liber la tot poporul. Momentan partea cu .htaccesul pare sa se apropie cel mai mult de cerintele mele. Alex ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] apache allow from dynamic ip
-Original Message- From: rlug-boun...@lists.lug.ro [mailto:rlug-boun...@lists.lug.ro] On Behalf Of Alex 'CAVE' Cernat Sent: Monday, June 07, 2010 2:41 PM To: Romanian Linux Users Group Subject: Re: [rlug] apache allow from dynamic ip Daca te pasioneaza rau de tot scarpinatul intensiv in locuri moi, poti face ceva hook la autentificare in mod_perl (da' parca si mod_python stie de-astea) care sa verifice daca e luna plina si daca userul si-a papat recent grisuletul, dar mi se pare ca vanezi muste cu tunul (mai ales in conditiile in care afair rds iti da ip fix daca faci upgrade la abonament business, de cativa dolari pe luna in plus). Din cate stiu diferenta era mult mai mare, plus ca pentru anumiti luzeri era mai greu de convins sa-si bage banii in erdeesh. Dar intr-adevar e de vazut. Preferam sa nu incarc aiurea module de mod_perl, iar serpisorii clar nu sunt prietenii mei. _sau_ faci ceva schema cu un cookie setat pe alt url si auth sau mod_rewrite bazat pe cookieul ala (dar e cam aceeasi frectie). Daca te gandeai cumva la servicii de-alea de home ip, e fix aceeasi chestie, te cam imbeti cu apa rece dpdv security. Asta cu cookie ar putea fi interesant (preluat apoi cu setenvif si allow from env=), dar pana la urma e cam frectie la picior de lemn, pentru ca un cookie poti sa-l setezi foarte usor, si atunci degeaba mai ma chinui, mai bine dau la liber la tot poporul. Momentan partea cu .htaccesul pare sa se apropie cel mai mult de cerintele mele. Alex Daca e singurul site pe Apache-ul ala, ai putea face un script cu iptables si dai drop direct la http - Acest mail a fost scanat de BitDefender instalat pe serverul CGGC si a fost considerat OK. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug