关于部署于云服务器上博客后台的登录密码

2019-01-09 01:12:08 +08:00

EscYezi

最近在撸一个个人博客，后台管理想类似 WordPress 那种部署到服务器上用密码登录。
关于这个密码我是这么打算的：
登录后台，数据库中不存在有效密码时，无论输入什么密码都返回密码错误。
正确的密码需要 ssh 到服务器后台，执行一个脚本生成有效期 30s 的密码，写入数据库，在该密码有效期内输入才能成功登录后台。后台登录时从数据库中查询。退出时清空密码。
在不知道密码的情况下，似乎只有两种办法登录后台：
1.在我执行该脚本后的 30s 内猜对密码
2.拿到服务器登录权限
看起来还挺安全的。
V 友们感觉这个想法可行否？或者有没有什么更好的建议🤔

3610 次点击

所在节点

奇思妙想

24 条回复

alvin666

2019-01-09 01:15:14 +08:00

不嫌麻烦吗
闲得肝疼...

EscYezi

2019-01-09 01:18:18 +08:00

@alvin666 为了安全啊🌚毕竟管理后台都放服务器上了，被人破了密码还不是想怎么改怎么改🌚

icekingcy

2019-01-09 01:21:16 +08:00

那就不要把后台放到服务器上，前后台分开，前台数据库账户只读权限，本地搭建后台远程数据库且每次远程连数据库给定个 IP 且密码尽量复杂数据库改端口

d3vil

2019-01-09 01:37:20 +08:00

搞个短信验证码登录不就得了

ra1983

2019-01-09 01:40:40 +08:00

难道不是应该用 2-step verification 么

GDC

2019-01-09 01:48:21 +08:00

@EscYezi 都登上服务器了为啥不改数据库… 反正你的 30s 脚本也得操作数据库吧…

LU35

2019-01-09 01:52:46 +08:00

小偷并不是只从正门进你家。

ladypxy

2019-01-09 05:18:15 +08:00

想安全就开两步认证，而不是搞这么蛋疼的步骤

saucerman

2019-01-09 05:34:03 +08:00

没必要，这种措施只能阻止登录后台，实际上设置一个比较复杂的密码就可以抵抗爆破了，搞这么复杂作用不大

SunnyLyx

2019-01-09 06:51:16 +08:00

目前我的策略是，从 cdn/nginx 中设置只允许代理的 IP 访问后台。
把正门和侧门都封了(但是不知道能不能爬窗进来...)

yingfengi

2019-01-09 08:13:15 +08:00

我的密码我自己都不知道，随机生成的，浏览器记住密码。

Showfom

2019-01-09 08:24:56 +08:00

你是藏了什么宝藏在你服务器上么= =

5CanTell

2019-01-09 09:04:31 +08:00

可以，但没必要

jookr

2019-01-09 09:09:13 +08:00

你的想法我懂
如果你懂 php 可以用个自定义 user-agent 的浏览器插件自定义字符串（我用的叫魔变），然后在网站后台代码里判断如果没有这个字符串就报错。

```
if (!stripos($_SERVER['HTTP_USER_AGENT'], '你的字符串')) {
abort(404, '页面不存在');
}
```

stzz

2019-01-09 09:12:36 +08:00

花里胡哨

liuxey

2019-01-09 09:16:10 +08:00

思想很发散，让我想到了日本网友的各种无聊发明，在 web 安全认证方面已经有很好的方案而且安全等级明显是够的，如果 ssh 都被人拿了，神仙也救不了

FreeEx

2019-01-09 09:18:45 +08:00

你服务器上有金子？而且脚本小子攻击网站也不是这样玩的，除非你登陆没验证码。

yzkcy

2019-01-09 10:18:13 +08:00

可以，但是没必要。

EscYezi

2019-01-09 11:33:47 +08:00

@LU35 那侧门是？

wwhc

2019-01-10 04:27:02 +08:00

单就密码而言，密码长度超过 20 个字节，再加上 Fail2ban，还是担心一下代码的漏洞吧

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/525210

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.