Accesso sito con ip

[FalcoDan]

Buongiorno a tutti,
mi hanno implementato in azienda un portale per un servizio che risponde sia all'url https://miodominio.it, che all'indirizzo ip sia pubblico che in lan.
Dato che si tratta di dati sensibili, vorrei inibire la possibilità di accedere tramite ip, ma solamente tramite url con relativo certificato.
Accedendo tramite ip, viene mostrato il messaggio di sito non sicuro, ma poi fa andare avanti.
Mentre se accedo tramite l'url registrato nel dns,( per il quale ho inserito i certificati ssl), mi mostra la pagina correttamente con il lucchetto.
Il server è un oracle linux 8 con apache , ho verificato nel file httpd.conf e ci sono due virtual host che rispondono allo stesso ip/url ma su porte differenti, uno per il lato pubblico ed uno per la parte amministrativa.
Ho queste direttive che ho provato a modificare ma senza risultato, sapete dirmi come fare?
NameVirtualHost *:443
NameVirtualHost *:8443

<VirtualHost *:443>
ServerName miodominio.it
ServerAlias www.miodominio.it

Grazie
Saluti
Danilo

[Dascos]

codice:

<Directory "/docroot">
        Require ip 10.10.11.12
    </Directory>

Sistemi il valore di directory e dell'ip. In questo modo se chi tenta di accedere NON arriva da quell'ip (o classe), vede un 403. Questo può essere utile dentro il vhost della parte intranet, mettendo una classe di ip tipo 192.168.1.0/24

Oppure, crei un "default" virtual host che rimanda a una pagina standard, così si può accedere solo con indirizzo web e non con ip.
Nome del file: /etc/apache2/sites-available/000-default.conf

codice:

<VirtualHost *:443>
    
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html




    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined


</VirtualHost>

<VirtualHost *:80>
    
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html




    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined


</VirtualHost>

Il fatto che ci sia o meno il lucchetto non significa che siano dati protetti, nel senso che chiunque può leggerli A MENO CHE ci sia un controllo sul certificato lato client, cioè che ci sia una richiesta di un certificato client per accedere al sito o altre tecniche tipo password ecc
https://httpd.apache.org/docs/2.4/howto/auth.html
https://httpd.apache.org/docs/2.4/mo...slverifyclient

[FalcoDan]

Ciao Grazie della risposta,
sto utilizzando oracle linux ed a quanto ho capito per creare un VirtualHost di default bisogna inserirlo nel file httpd.conf prima degli altri.
Ho fatto cosi inserendo :
<VirtualHost *:80>
ServerAdmin webmaster@miosito.it
DocumentRoot /var/www/html
ServerName miosito.it
</VirtualHost>

con una pagina index.html in /var/www/html

Ma non funziona, ho capito male ?
Per quanto riguarda il lucchetto, non dovrebbero essere criptati lungo il percorso fra client e server?
Grazie
Danilo

codice:

<Directory "/docroot">
        Require ip 10.10.11.12
    </Directory>

Sistemi il valore di directory e dell'ip. In questo modo se chi tenta di accedere NON arriva da quell'ip (o classe), vede un 403. Questo può essere utile dentro il vhost della parte intranet, mettendo una classe di ip tipo 192.168.1.0/24

Oppure, crei un "default" virtual host che rimanda a una pagina standard, così si può accedere solo con indirizzo web e non con ip.
Nome del file: /etc/apache2/sites-available/000-default.conf

codice:

<VirtualHost *:443>
    
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html




    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined


</VirtualHost>

<VirtualHost *:80>
    
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html




    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined


</VirtualHost>

Il fatto che ci sia o meno il lucchetto non significa che siano dati protetti, nel senso che chiunque può leggerli A MENO CHE ci sia un controllo sul certificato lato client, cioè che ci sia una richiesta di un certificato client per accedere al sito o altre tecniche tipo password ecc
https://httpd.apache.org/docs/2.4/howto/auth.html
https://httpd.apache.org/docs/2.4/mo...slverifyclient

[Dascos]

Hai capito giusto ma hai implementato male....
Leva la riga dal primo vhost

codice:

ServerName miosito.it

Inoltre, se l'accesso avviene in modalità https, devi mettere anche il virtual di default per la porta 443....

Il fatto di dover inserire i vhost nel httpd.conf è giusto ma non è corretto.
Sarebbe meglio, anche per semplicità di lettura e di modifiche, metterli in file separati, in questo modo
File httpd.conf, ALLA FINE del file

codice:

IncludeOptional sites-enabled/

A questo punto crei i vari file dei virtual host nella cartella sites-enabled. Per i virtual host di default, cioè "cosa ti mostro se mi inserisci un indirizzo non valido o che non capisco", il file deve essere chiamato 000-default.conf perchè l'inclusione avviene in ordine alfabetico e quindi 000 verrà prima di ogni altro
Il nome per gli altri file non è importante, basta che abbiano una logica (per te!)otrebbero essere pippo.conf, pluto.conf ecc, così come intranet.conf, extranet.conf, clienti.conf ecc ecc

Il lucchetto garantisce la comunicazione protetta tra il client e il server ma chiunque abbia accesso al sito potrà vedere i dati (sul browser). Se con "dati sensibili" intendi "riservati, solo chi è autorizzato deve vederli, modificarli, inserirli ecc", allora https da solo non basta. Se invece dici "voglio evitare che vengano intercettati o modificati durante l'invio o la ricezione da parte del Cliente" allora può andare bene.

[FalcoDan]

Ciao,
ho provato ad inserire i virtual host di defaul direttamente nel file httpd.conf per comodità, e funziona a metà.
Cioè se provo con l'indirizzo ip su porta 443 mi apre una pagina con "Index of /" e pagina bianca, mentre se vado su porta 8443 mi restituisce " il sito non può fornire una connessione protetta"
Il problema è che mi restituisce lo stesso errore anche se punto con il nome sito https:miosito.it:8443
Nella cartella var\www\html non ho inserito nulla pensando che non trovando nulla venisse fuori il classico errore 404.
Ho inserito nella sezione virtual host la direttiva per la pagina di errore, ma nulla "ErrorDocument 400 "The server made a boo boo."

Grazie
Ciao Danilo

[Dascos]

In var\www\html inserisci una pagina, che ti costruisci tu, nella quale dici che non si è autorizzati (anche senza restituire un 404 reale)
Nel vhost 8443 di default devi comunque mettere le direttive per l'https, cioè certificato e chiave, così come l'hai nel vhost "reale" 8443