|
Общение на любые темы о форуме и движении phpBB
03 окт 2012, 17:55
в вашем случае я вообще не вижу проблемы. Закрываете доступ всем в adm и phpmyadmin и разрешаете только своему айпи.
-
crash
- Поддержка
-
- Сообщений: 11354
- Зарегистрирован:
27 янв 2009, 03:22
- Благодарил (а): 1 раз.
- Поблагодарили: 569 раз.
03 окт 2012, 17:57
crash писал(а):Aleksey Но phpmyadmin сам по себе при правильной настройке спрашивает логин/пароль для доступа к базе.
У меня он и спрашивает логин\пароль при входе (авторизация) 
-
Aleksey
- Активный участник
-
- Сообщений: 66
- Зарегистрирован:
20 сен 2012, 10:34
- Благодарил (а): 23 раз.
- Поблагодарили: 0 раз.
03 окт 2012, 19:36
Aleksey А зачем такие сложности с установкой паролей? Можно просто закрыть служебные директории через Rewrite, чтобы при попытке входа на них пользователь переадресовывался на главную страницу.
Искренне Ваш, Евгений
-

Tarus
- Разработчик скинов
-
- Сообщений: 1066
- Зарегистрирован:
13 дек 2008, 14:26
- Благодарил (а): 0 раз.
- Поблагодарили: 115 раз.
03 окт 2012, 21:18
Tarus писал(а):Aleksey А зачем такие сложности с установкой паролей? Можно просто закрыть служебные директории через Rewrite, чтобы при попытке входа на них пользователь переадресовывался на главную страницу.
Вы имеете в виду настройками файла .htaccess т.е. прописав в него соответствующие директивы ? У меня вопрос стоит именно закрыть доступ или убрать из видимости служебные директории (ну можно и переадресацию сделать) т.к. некоторые онлайн сервисы позволяют получить структуру сайта. Вот только какие служебные директории нужно защитить и какие директивы внести в файл .htaccess я честно говоря не знаю. Пробовал закрыть доступ по IP (для phpmyadmin и для каталога adm) - выдает постоянно 500 ошибку. Что не так делаю не пойму. Делал так: Order Deny,Allow Deny from all Allow from 127.0.0.1 (так же пробовал сюда свой внешний IP заносить), но все равно выдает 500 ошибку. На некоторых ресурсах вычитал, что есть директивы: Deny from all|host Allow from all|host С паролем мне попроще было т.к. я настроил, а вот все остальные директивы, приведенные тут выдают ошибку 500 (кроме директив Deny from all|host и Allow from all|host - ещё не пробовал пользоваться - наверно там нужно указать localhost). Мне просто нужно сделать так, чтобы доступ к adm и phpmyadmin был только с моего компьютера (ну и по возможности защитить другие служебные директории любым способом (желательно вообще закрыть доступ). Кстати насчет установки пароля на каталоги и файлы вычитал, что есть очень хороший директив: AuthType Digest (именно этот, не базовый) - в базовом пароль передается в открытом виде и может быть перехвачен злоумышленником, а в этом типе аутентификации (Digest) - передается зашифрованный хеш пароля (не может быть перехвачен). Правда этот типом аутентификации у меня не работает. Была информация, что не все браузеры поддерживают его. Поможете во всем разобраться ? И зря тут некоторые пользователи писали (в каком то разделе форума, что тут плохая поддержка) - наоборот - все на высоте, быстро, оперативно, а главное что мне удалось некоторые вопросы решить благодаря вам.
Последний раз редактировалось Aleksey 03 окт 2012, 23:26, всего редактировалось 2 раз(а).
-
Aleksey
- Активный участник
-
- Сообщений: 66
- Зарегистрирован:
20 сен 2012, 10:34
- Благодарил (а): 23 раз.
- Поблагодарили: 0 раз.
-
Aleksey
- Активный участник
-
- Сообщений: 66
- Зарегистрирован:
20 сен 2012, 10:34
- Благодарил (а): 23 раз.
- Поблагодарили: 0 раз.
03 окт 2012, 23:30
Вообще моя тема кому нибудь интересна ? Мне вот интересно в этом всем разбираться, думаю и другим людям польза будет  .
-
Aleksey
- Активный участник
-
- Сообщений: 66
- Зарегистрирован:
20 сен 2012, 10:34
- Благодарил (а): 23 раз.
- Поблагодарили: 0 раз.
04 окт 2012, 06:16
никогда не пользовался виндовой программой поэтому что она не делает не скажу, но родной апачевский htpasswd шифрует. htpasswd encrypts passwords using either a version of MD5 modified for Apache, or the system's crypt() routine. Files managed by htpasswd may contain both types of passwords; some user records may have MD5-encrypted passwords while others in the same file may have pass- words encrypted with crypt().
Что делает виндовая программа без понятия.
-
crash
- Поддержка
-
- Сообщений: 11354
- Зарегистрирован:
27 янв 2009, 03:22
- Благодарил (а): 1 раз.
- Поблагодарили: 569 раз.
04 окт 2012, 08:27
вот пароль 12345 с помощью crypt %htpasswd -n -b crash 12345 crash:ttFPLtTdP/U.w
тот же пароль но с использованием шифрования md5 %htpasswd -n -b -m crash 12345 crash:$apr1$JiBsN...$ydCsaNQCUFitoKtvnSlRZ.
собственно как написано в инструкции
-
crash
- Поддержка
-
- Сообщений: 11354
- Зарегистрирован:
27 янв 2009, 03:22
- Благодарил (а): 1 раз.
- Поблагодарили: 569 раз.
04 окт 2012, 08:29
а вот еще чего нашел, по-умолчанию в винде используется md5, но опять же для родного htpasswd: On Windows, TPF and NetWare systems the '-m' flag is used by default. On all other systems, the '-p' flag will probably not work.
ну и собственно %htpasswd -n -b -m -p crash 12345 Warning: storing passwords as plain text might just not work on this platform. crash:12345
в моей системе не не будет работать такое. А вот в винде похоже будет работать если просто в файлик внести чистый пароль. Одним словом Винда, что с неё взять 
-
crash
- Поддержка
-
- Сообщений: 11354
- Зарегистрирован:
27 янв 2009, 03:22
- Благодарил (а): 1 раз.
- Поблагодарили: 569 раз.
04 окт 2012, 10:37
crash
Похоже, что "Encode UNIX Password" тоже шифрует пароль, раз из 12345 получается AljZdaRX/L0FM при шифровании, но мне не понятно только одно - почему же авторизация не проходит с паролем 12345, а проходит с так называемым зашифрованным AljZdaRX/L0FM паролем. С другой стороны это наоборот хорошо, что можно внести любой пароль самому - программ для создания сложных, не поддающихся подбору паролей великое множество, кроме того - длину пароля мы уже сами задаем. Например для входа в phpmyadmin (стандартная авторизация - без помощи .htaccess) - я использовал пароль в 100 символов. Интересно есть ли ограничения на длину пароля ? К моей базе данных в phpmyadmin (когда пользователя создаешь) - я тоже использовал пароль в 100 символов. Если ещё и воспользоваться волшебным файлом .htaccess и сделать через него авторизацию по паролю в 100 символов, думаю это будет 99% защита от взлома. 99% потому, что все таки есть вероятность в перехвате пароля (тип аутентификации то базовый (Basic). Почему не работает второй тип аутентификации (digest) не пойму, скорее всего из за того, что дополнительный модуль не установлен. Вот некоторая информация по второму типу:
WEB-сервер Apache поддерживает еще один вид защиты — digest-аутентификацию. При digest-аутентификации пароль передается не в открытом виде, а в виде хеш-кода, вычисленному по алгоритму MD5. Поэтому пароль не может быть перехвачен при сканировании трафика. Но, к сожалению, для использования digest-аутентификации необходимо установить на сервер специальный модуль - mod_auth_digest. А это находится только в компетенции администрации сервера. Также, до недавнего времени, digest-аутентификация поддерживалась не всеми видами браузеров.
Интересно, а где этот модуль mod_auth_digest скачать можно ? Я все хочу себе второй тип аутентификации установить - более продвинутый так сказать.
-
Aleksey
- Активный участник
-
- Сообщений: 66
- Зарегистрирован:
20 сен 2012, 10:34
- Благодарил (а): 23 раз.
- Поблагодарили: 0 раз.
Вернуться в Обсуждение phpBB
-
- Замучил спам. Не помогает спам защита
Amstron » 08 янв 2015, 15:56
- 2 Ответов
- 1772 Просмотров
- Последнее сообщение Amstron
 08 янв 2015, 20:34
-
- Шапка форума
CEMoCrafter » 20 окт 2010, 15:03
- 4 Ответов
- 2268 Просмотров
- Последнее сообщение xC4x
 21 окт 2010, 00:59
-
- Картинка форума, помощь!
Сафьен Даруиш » 20 апр 2011, 04:49
- 1 Ответов
- 1354 Просмотров
- Последнее сообщение Tarus
 20 апр 2011, 12:42
-
- Проблема с рамками форума!
dok69 » 02 мар 2010, 16:54
- 19 Ответов
- 3907 Просмотров
- Последнее сообщение dok69
 03 мар 2010, 22:24
-
- Перенос форума.Помогите
RolleX122 » 16 сен 2011, 16:38
- 1 Ответов
- 1800 Просмотров
- Последнее сообщение xC4x
 17 сен 2011, 17:31
Кто сейчас на форуме
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2
|
|
|
|
|