Hace unos días explicaba Cómo hacer un backup de la Raspberry Pi.
Básicamente, el script hace un zip con todo el contenido del wiki y lo guarda en una carpeta llamada [web_root]/backups. Como estos ficheros -de momento- se quedan en la RPi, quería una forma sencilla de transferirlos en cualquier momento desde cualquier sitio. Dado que tenía un servidor web habilitado, me pareció una buena idea el crear una página web estática con enlaces a los ficheros de backup.
Sin embargo, más adelante añadí la posibilidad de acceder a la RPi desde cualquier sitio gracias a ngrok. Esto me ha permitido acceder al wiki desde cualquier sitio -básicamente, desde el trabajo- para consultar algún artículo.
Pero el otro día me di cuenta que Dokuwiki guarda toda la información en la carpeta /data, incluido el nombre de usuario y password para acceder al wiki como administrador. Es decir, cualquiera podría acceder al wiki usando la URL pública, pulsar sobre el enlace que lleva a la web con el listado de backups y descargarse una copia del wiki. Hasta aquí, ningún problema; al fin y al cabo, la información es accesible públicamente.
Pero entonces pensé que accediendo al fichero de configuración del wiki (en conf/users.auth.php), tendrían acceso al password encriptado. Pero a partir de ahí, sólo sería cuestión de tiempo que alguien pudiera descifrarlo, acceder al wiki y cambiar cualquier cosa.
Vale, sería complicado y roza la paranoia, pero en cualquier caso he decidido hacer las cosas bien.
No quiero cambiar el modo en el que realizo -y accedo- a los backups a través del navegador, así que lo que tengo que hacer es limitar el acceso únicamente a las IPs locales de mi red, bloqueando el resto (internet).
Para ello, he añadido un bloque al fichero de configuración del site en Nginx:
https://gist.github.com/XaviAznar/ea935c869fc300d65d58
De esta forma, puedo acceder a los backups desde mi red local, pero si alguien intenta acceder desde internet, Nginx bloquea el acceso a la carpeta.
Básicamente, el script hace un zip con todo el contenido del wiki y lo guarda en una carpeta llamada [web_root]/backups. Como estos ficheros -de momento- se quedan en la RPi, quería una forma sencilla de transferirlos en cualquier momento desde cualquier sitio. Dado que tenía un servidor web habilitado, me pareció una buena idea el crear una página web estática con enlaces a los ficheros de backup.
Sin embargo, más adelante añadí la posibilidad de acceder a la RPi desde cualquier sitio gracias a ngrok. Esto me ha permitido acceder al wiki desde cualquier sitio -básicamente, desde el trabajo- para consultar algún artículo.
Pero el otro día me di cuenta que Dokuwiki guarda toda la información en la carpeta /data, incluido el nombre de usuario y password para acceder al wiki como administrador. Es decir, cualquiera podría acceder al wiki usando la URL pública, pulsar sobre el enlace que lleva a la web con el listado de backups y descargarse una copia del wiki. Hasta aquí, ningún problema; al fin y al cabo, la información es accesible públicamente.
Pero entonces pensé que accediendo al fichero de configuración del wiki (en conf/users.auth.php), tendrían acceso al password encriptado. Pero a partir de ahí, sólo sería cuestión de tiempo que alguien pudiera descifrarlo, acceder al wiki y cambiar cualquier cosa.
Vale, sería complicado y roza la paranoia, pero en cualquier caso he decidido hacer las cosas bien.
No quiero cambiar el modo en el que realizo -y accedo- a los backups a través del navegador, así que lo que tengo que hacer es limitar el acceso únicamente a las IPs locales de mi red, bloqueando el resto (internet).
Para ello, he añadido un bloque al fichero de configuración del site en Nginx:
https://gist.github.com/XaviAznar/ea935c869fc300d65d58
De esta forma, puedo acceder a los backups desde mi red local, pero si alguien intenta acceder desde internet, Nginx bloquea el acceso a la carpeta.
Comentarios