Fork me on GitHub Fork me on GitHub
Jak zwiększyć bezpieczeństwo XOOPS'a - wyw
Jak zwiększyć bezpieczeństwo XOOPS'a - wywiad
  Posted on Wed 11 Jul 2007 by kurak_bu (4356 reads)
XCT: James, jako doświadczony administrator, możesz nam udzielić kilku uwag na temat bezpieczeństwa stron internetowych?

James: Mogę zaoferować kilka ogólnych rad, ponieważ nie jestem ekspertem w dziedzinie bezpieczeństwa. Jestem raczej od zadań "ogólnych". Wiesz... "coś co jest do wszystkiego, jest do niczego."

James: W paru słowach, większość hacków jest dokonywana na poziomie serwera a nie XOOPS'a. Pochodzą one także od złośliwych użytkowników schowanych za serwerami proxy. Uprawnienia oraz konfiguracja serwera stanowią pierwszą linię obrony. Jeżeli twoja aplikacja jest poprawnie napisana, wszytko inne jest ~bubble gum and duct tape~. Poprawna konfiguracja serwera, uprawnienia oraz instalacja Protector'a uchroniły jak dotąd wielu użytkowników.

XCT: Co średnio zaawansowany webmaster może zrobić, aby zabezpieczyć swoją stronę?

James: Zbyt wielu użytkowników łapie się byle czego, byle tylko uatrakcyjnić swoją stronę a nie zastanawia się nad ryzykiem. Jeżeli ktoś chce być "web masterem" musi pamiętać, że licho nie śpi oraz, że kiedyś ryzyko może zamienić się w klęskę. Nie jest to kwestia, czy się to stanie, czy nie, jest to kwestia czasu.

XCT: Od czego powinniśmy zacząć?

James:
1. Wyłączyć Indexy
2. Używając pliku .htaccess zabronić dostępu do folderów, które nie powinny być bezpośrednio dostępne.
3. Domagać się suExec na serwerrze (dzielone konta będą miały trochę problemów z tą kwestią).
4. chmod 777 nie jest najlepszym pomysłem - suExec naprawi to. templates_c/ cache/ oraz uploads/ mogą działać z chmod 755 przy suExec, mainfile.php może być na chmod 400.
5. Wyciągnąć dane bazy na zewnątrz mainfile.php oraz z katalogu głównego serwera.
6. chmod 444 dla wszystkich plików, które nie potrzebują być zapisywalne.
7. chmod 755 dla wszystkich folderów (niektóre moduły przestałyby działać przy chmod 555, więc ustawiamy 755).
8. Wyłącz dostęp do ftp anonimowym użytkownikom.
9. Upewnij się, że wszyscy użytkownicy bazy mają trudne do złamania hasło (np. Ha5l_0)
10. Upewnij się, gdy używasz SSH, że jest poprawnie skonfigurowane.
11. Przejrzyj wątki o bezpieczeństwie każdego modułu, zanim go zainstalujesz.
12. Obok tego, co przynosi Protector, miej w hostingu włączoną opcję open_base_dir oraz ochronę Fork Bomb.
13. Nigdy nie dawaj uprawnień admina nikomu, szczególnie do administracji blokami.
14. Nigdy nie zakładaj, że jesteś w 100% bezpieczny. Regularnie monitoruj swoją stronę i wychwytuj podejrzane pliki.
15. Kopie, Kopie, Kopie, Kopie, Kopie, Kopie !

Dodatkowe źródła informacji nt bezpieczeństwa:
Link 1Link 2Link 3Link 4
Index :: Print :: E-mail
The comments are owned by the author. We aren't responsible for their content.