Hallo liebe QNAP-Freunde,
Ich melde mich mal wieder mit einem Problem bzw. einer Anregung zu Wort.
Ich habe auf meinem QNAP einige Funktionen auf meinem QNAP-Apache freigeschaltet - Joomla, Ajaxplorer, Roundcube und eine andere Web-Applikation.
Da mein NAS auch über eine dyndns-Adresse erreichbar ist, schreibe ich per htaccess alle URLS auf https um - somit sollte jeder Zugriff auf eine Web-Applikation verschlüsselt erfolgen. Der Weg über htaccess war notwendig, weil die Joomla-Administration immer wieder einen http Zugriff benötigt hat. - HTTPS ist also mal aktiviert.
Damit ich aber meine Web-Applikationen auch ordentlich und einheitlich geschützt sind, habe ich das komplette Qweb-Verzeichnis (und damit auch alle Unterordner) mit htaccess und htpasswd geschützt. Das funktioniert auch ganz gut.
Ich habe aber zwei Probleme wo ich einen Lösungsansatz benötigen würde:
1. Wie sieht es mit einer Brute-Force Attacke auf htaccess und htpasswd aus. Wie könnte man eine Ban-List realisieren?
2. Es wäre nicht schlecht wenn die htpasswd-Abfrage nur bei einem externen Zugriff kommt. Sprich die Abfrage soll bei einem Zugriff aus dem lokalem Netz nicht kommen.
Ich freu mich schon auf euren Input und eure Meinung dazu!