Настойки безопасности

Этот раздел описывает обязательные меры безопасности, которые должен выполнить владелец обменника сразу после установки Lara на сервер, а также рекомендации по дальнейшей защите аккаунта, админ-панели и сервера.

Краткая последовательность действий для пользователя

1. Войти по уникальной ссылке и сменить пароль администратора.

2. Настроить SMTP-провайдера (почту).

3. Включить двухфакторную аутентификацию (2FA по email).

4. Настроить VPN.

5. Добавить IP-адрес своего VPN в:

   • белый список админ-панели,

   • правила Cloudflare.

6. Настроить роли (если планируется добавлять сотрудников).

7. Регулярно проверять журнал действий (Operation Log).

8. Выполнить минимальную защиту сервера.

1. Уникальная ссылка на админ-панель и первичная авторизация

После установки через автоинсталлер пользователь получает:

• уникальный URL админ-панели,

• логин и пароль администратора, сгенерированные системой.

Эти данные отображаются в консоли после установки. Скопируйте и сохраните себе ссылку на административную панель сайта, email и пароль для входа. После этого вы можете открыть ваш сайт в браузере.

Важно:

• Уникальный URL необходимо сохранить, не передавать третьим лицам.

• После первого входа необходимо обязательно сменить пароль администратора, в верхнем правом углу нажав на свой профиль - Настройки аккаунта - Изменить пароль.

  

Следуйте инструкции описаной на странице изменения пароля, также описанной в данном разделе документации. Если Вы также пожелаете изменить URL админ-панели - это невозможно сделать самостоятельно, для этого следует обратиться в поддержку.

2. Настройка почтового провайдера (SMTP)

Для работы функций безопасности, в частности двухфакторной аутентификации, необходимо заранее настроить SMTP-провайдера. Это протокол (набор правил), который используется для отправки электронной почты с одного почтового сервера на другой. Он отвечает за автоматическую передачу писем и подтверждение их доставки. Простыми словами - мы настроим почту, которая используется для автоматических уведомлений для администратора и клиентов о статусах их заявок и прочих уведомлений, таких как смена пароля, подтверждение регистрации, рассылка. Чтобы это заработало, нужно заполнить несколько полей в настройках.

Порядок выполнения:

1. Открыть настройки почты в админ-панели. Перейдите в раздел Настройки - Настройки SMTP в админ-панели. О том, за что отвечает каждое из полей, вы можете узнать в данном разделе документации.

2. Заполнить данные SMTP сервера. Подробный пример настройки и получения данных SMTP сервера можете узнать в данном разделе документации. Здесь описана пошаговая инструкция примеров настройки двух SMTP сервисов.

3. Сохранить изменения.

Примечание: На уровне бизнес-логики система не позволит включить двухфакторную аутентификацию, пока SMTP не настроен.

3. Двухфакторная аутентификация (2FA по email)

В настоящее время в LARA-Script двухфакторная аутентификация работает только через email. При попытке входе система отправляет длинный код подтверждения на настроенную почту администратора.

Чтобы включить 2FA:

1. Сначала настроить SMTP (см. раздел выше).

2. Затем включить двухфакторную аутентификацию в профиле администратора. Раздел Настройки администратора - Двухфакторная аутентификация админ-панели. Найдите опцию «Двухфакторная аутентификация» и нажмите переключатель «Включить». Больше информации о разделе можете прочитать в данном разделе документации.

Теперь при каждой авторизации после ввода логина и пароля система отправит одноразовый код на вашу почту. Только после ввода этого кода вы сможете получить доступ к аккаунту.

4. Белый список IP-адресов (IP Whitelist)

В админ-панели существует встроенный механизм ограничения доступа по IP-адресам. Это дополнительный уровень защиты на уровне кода. То есть по сути, даже если кто-то заимеет ваш логин и пароль для входа, он не сможет совершить авторизацию, если совершает данный вход не с разрешённого вами интернет-протокол адреса.

Рекомендуется добавить:

• свой личный IP,

• IP-адрес сотрудников (операторов),

• IP-адреса VPN, если используется доступ через VPN.

Необходимо перейди в соседний раздел Администратор - Белый список IP, нажав кнопку "+Добавить" внести конкретный IP-адрес и комментарий, например, актуальный VPN адрес одного из Ваших сотрудников. Подробнее о настройке Белого списка IP-адресов можете узнать в данном разделе документации.

Рекомендации по VPN

Мы рекомендуем:

• приобрести готовый VPN либо настроить собственный,

• использовать только проверенных провайдеров,

• при необходимости - обратиться в нашу поддержку, которая подскажет подходящие сервисы.

После настройки VPN добавьте IP вашего VPN в белый список для стабильного защищённого доступа.

5. Настройка ролей

В системе доступно распределение прав пользователей между различными ролями. Для этого перейдите на страницу, которая является ключевым центром управления доступами, что позволяет быстро формировать команду, контролировать уровни доступа и обеспечивать безопасность административной части проекта, это крайне удобно, если в вашей команде работает несколько человек, и вы желаете для некоторых из них предоставить особые доступы к админ-панели.

Чтобы настроить роль:

• Перейдите в раздел Администратор - Администраторы, и следуя инструкции создайте новых пользователей, которых вы можете передать вашим колегам и даже редактировать уже их существующие роли

В стандартном наборе ролей, Вы будете иметь уже настроенные по шаблону 4 роли:

• Администратор — полный доступ, может управлять ролями и IP-белым списком.

• Оператор — всё, кроме управления админами и IP.

• Финансист — доступ к отчётам и аналитике.

• Контент-менеджер — управление новостями, страницами, баннерами.

Вы также можете ознакомиться с полным списком доступов или даже настроить их в следующем разделе - Управление ролями.

Подробнее о настройке управления ролями Вы можете узнать в данном разделе документации.

Важно: 1. Ваш первый профиль будет иметь роль уровня Администратор, и по стартовому шаблону лишь пользователь с этой ролью может редактировать другие роли. 2. Перед добавлением новых пользователей убедитесь, что им назначена корректная роль.

6. Operation Logs (журнал действий пользователей)

Страница логов позволяет администраторам отслеживать все действия, выполняемые в системе. Логи используются не только для диагностики ошибок, но и для аудита (контроля, кто и какие действия выполнял), а также для анализа активности администраторов. Это помогает выявлять подозрительные действия, отслеживать попытки несанкционированного доступа или неправильное использование функционала. Для каждой записи отображается перечень параметров которые упрощают отслеживание действий.

Журнал логов помогает не только видеть, кто и что делал, но и каким образом это происходило — через какие API-запросы и с какими данными. Чтобы открыть страницу логов, перейдите в раздел Администратор - Логи админ-панели, и также ознакомьтесь с разделом документации.

7. Настройки защиты в Cloudflare (CDN-уровень)

Так как установка LARA-script требует использования Cloudflare, рекомендуется настроить дополнительные правила безопасности, своего рода второй белый список IP на уровне серверной логики.

Это создаёт двойную защиту:

1. Ограничение IP на стороне Cloudflare.

2. Ограничение IP в самой админ-панели.

Ниже мы предоставили детальную инструкцию по настройке безопасности на стороне CloudFlare.

Настройка безопасности на уровне Cloudflare

1. Зайдите в свой аккаунт Cloudflare и выберите свой домен

1. Перейдите во вкладку Security -> Security rules

   
2. Для начала, Вам необходимо добавить айпи вашего сервера, на котором расположен ваш сайт, в белый список. Нажмите на кнопку Create rule -> IP access rules

   
3. В открывшемся окне, у Вас появится форма для заполнения белого списка вашего сайта. Введите айпи вашего сервера. Выберите Action: Allow. Также рекомендуем добавлять в каждое правило комментарий (Notes). После заполнения всех полей нажмите на кнопку Create, чтобы сохранить изменения.

1. После сохранения Вас перенаправит в меню безопасности, где уже должно появиться ваше правило

   
2. Следующим шагом необходимо ограничить доступ к Админ-панели только через ваш VPN. Для этого вам нужно:

• Узнать IP-адрес вашего VPN.

• Убедиться, что этот IP-адрес статический (постоянный), а не динамический.

Для этого нужно нажать на кнопку Create rule -> Custom rules

1. Введите название правила, далее в первое условие впишите так: **Field -Hostname Operator -equals Value -**Домен на вашу админ-панельДалее нажмите кнопку **AND,**чтобы вписать еще одно условие

   

и введите такие значения **Field -IP Source AddressOperator -is not inValue -**Айпі вашего ВПНа

и ниже выберите Choose action - Block, как в примере ниже

это правило дает возможность заходить в вашу админ-панель только по вашему айпі, которое вы подставили в поле IP Source Address. Сохраните это правило нажимая на кнопку Deploy.

Настройка безопасности на уровне сервера.

1. Подключение к серверу по SSH

• Откройте терминал (macOS / Linux) или программу PuTTY (Windows).

• Выполните команду: ssh username@SERVER_IP, где username - пользователь на сервере ( в основном єто root) SERVER_IP - айпи вашего сервера

• Введите пароль

1. Установка и базовая настройка UFW

Выполните такие команды ниже, чтобы установить пакеты фаервола

sudo apt update

sudo apt install ufw -y

1. Настройка доступа через UFW только для вашего VPN-IP

ВАЖНО: Сначала разрешите доступ по SSH с вашей VPN-IP,

а уже после этого запретите все остальные подключения по порту 22.

Иначе вы потеряете доступ к серверу.

Введите следующие команды на сервере

• Разрешить подключение к SSH (порт 22) только с вашей VPN-IP:sudo ufw allow from VPN-IP to any port 22где VPN-IP- айпи вашего ВПНа

• Запретить все остальные запросы на порт 22: sudo ufw deny 22

• Перезагрузить UFW: sudo ufw reload

• Включить правила: sudo ufw enable