Защита форума от взлома

[crash]

в вашем случае я вообще не вижу проблемы. Закрываете доступ всем в adm и phpmyadmin и разрешаете только своему айпи.

[Aleksey]

Aleksey
Но phpmyadmin сам по себе при правильной настройке спрашивает логин/пароль для доступа к базе.

У меня он и спрашивает логин\пароль при входе (авторизация)

[Tarus]

Aleksey
А зачем такие сложности с установкой паролей? Можно просто закрыть служебные директории через Rewrite, чтобы при попытке входа на них пользователь переадресовывался на главную страницу.

[Aleksey]

Aleksey
А зачем такие сложности с установкой паролей? Можно просто закрыть служебные директории через Rewrite, чтобы при попытке входа на них пользователь переадресовывался на главную страницу.

Вы имеете в виду настройками файла .htaccess т.е. прописав в него соответствующие директивы ? У меня вопрос стоит именно закрыть доступ или убрать из видимости служебные директории (ну можно и переадресацию сделать) т.к. некоторые онлайн сервисы позволяют получить структуру сайта. Вот только какие служебные директории нужно защитить и какие директивы внести в файл .htaccess я честно говоря не знаю. Пробовал закрыть доступ по IP (для phpmyadmin и для каталога adm) - выдает постоянно 500 ошибку. Что не так делаю не пойму. Делал так:

Order Deny,Allow
Deny from all
Allow from 127.0.0.1 (так же пробовал сюда свой внешний IP заносить), но все равно выдает 500 ошибку.

На некоторых ресурсах вычитал, что есть директивы:

Deny from all|host
Allow from all|host

С паролем мне попроще было т.к. я настроил, а вот все остальные директивы, приведенные тут выдают ошибку 500 (кроме директив Deny from all|host и Allow from all|host - ещё не пробовал пользоваться - наверно там нужно указать localhost). Мне просто нужно сделать так, чтобы доступ к adm и phpmyadmin был только с моего компьютера (ну и по возможности защитить другие служебные директории любым способом (желательно вообще закрыть доступ).

Кстати насчет установки пароля на каталоги и файлы вычитал, что есть очень хороший директив: AuthType Digest (именно этот, не базовый) - в базовом пароль передается в открытом виде и может быть перехвачен злоумышленником, а в этом типе аутентификации (Digest) - передается зашифрованный хеш пароля (не может быть перехвачен). Правда этот типом аутентификации у меня не работает. Была информация, что не все браузеры поддерживают его. Поможете во всем разобраться ? И зря тут некоторые пользователи писали (в каком то разделе форума, что тут плохая поддержка) - наоборот - все на высоте, быстро, оперативно, а главное что мне удалось некоторые вопросы решить благодаря вам.

[Aleksey]

Поковырялся сегодня с установкой паролей на директории и честно говоря не совсем понял смысл программы: "Encode UNIX Password". Ведь я сегодня от фонаря прописал в файле .htpasswd имена и пароли пользователей - которым будет доступ в ту или иную директорию. И все работает, например как видно из фото, занес имена Admin и Aleksey и пароли 12345. Тогда смысл программы "Encode UNIX Password" вообще - если можно любой программой сгенерировать пароль любой сложности и занести его в файл .htpasswd любым текстовым редактором. Радует одно, что можно ограничить доступ к этому файлу и тогда ваша директория надежно защищена, ведь файлы .htaccess и .htpasswd не видны при просмотре структуры сайта с помощью браузера. А программа "Encode UNIX Password" просто генерирует пароль (может он зашифрован как пишут), но достаточно ввести пароль из строчки (см.фото - обвел красным (там наш логин и пароль) и все - авторизация пройдена. А по поводу файла .htaccess решил, что лучше в директиве Require указывать конкретное имя пользователя для авторизации, например Require user Aleksey (мало ли что в файле паролей .htpasswd можно понаписать). Разобрался почему при установке пароля на директорию поначалу выдавалась 500 ошибка - оказывается текст в директиве AuthName должен быть в кавычках. А чтобы работала директива Require для избранных пользователей - нужно обязательно указывать слово user - (на некоторых ресурсах пишут что это зависит от версии сервера). Так что буду разбираться дальше - а вы пока ответьте на вопросы постом выше пожалуйста .

[Aleksey]

Вообще моя тема кому нибудь интересна ? Мне вот интересно в этом всем разбираться, думаю и другим людям польза будет .

[crash]

никогда не пользовался виндовой программой поэтому что она не делает не скажу, но родной апачевский htpasswd шифрует.

htpasswd encrypts passwords using either a version of MD5 modified for
Apache, or the system's crypt() routine. Files managed by htpasswd may
contain both types of passwords; some user records may have
MD5-encrypted passwords while others in the same file may have pass-
words encrypted with crypt().

Что делает виндовая программа без понятия.

[crash]

вот пароль 12345 с помощью crypt

%htpasswd -n -b crash 12345
crash:ttFPLtTdP/U.w

тот же пароль но с использованием шифрования md5

%htpasswd -n -b -m crash 12345
crash:$apr1$JiBsN...$ydCsaNQCUFitoKtvnSlRZ.

собственно как написано в инструкции

[crash]

а вот еще чего нашел, по-умолчанию в винде используется md5, но опять же для родного htpasswd:

On Windows, TPF and NetWare systems the '-m' flag is used by default.
On all other systems, the '-p' flag will probably not work.

ну и собственно

%htpasswd -n -b -m -p crash 12345
Warning: storing passwords as plain text might just not work on this platform.
crash:12345

в моей системе не не будет работать такое. А вот в винде похоже будет работать если просто в файлик внести чистый пароль.
Одним словом Винда, что с неё взять

[Aleksey]

crash

Похоже, что "Encode UNIX Password" тоже шифрует пароль, раз из 12345 получается AljZdaRX/L0FM при шифровании, но мне не понятно только одно - почему же авторизация не проходит с паролем 12345, а проходит с так называемым зашифрованным AljZdaRX/L0FM паролем. С другой стороны это наоборот хорошо, что можно внести любой пароль самому - программ для создания сложных, не поддающихся подбору паролей великое множество, кроме того - длину пароля мы уже сами задаем. Например для входа в phpmyadmin (стандартная авторизация - без помощи .htaccess) - я использовал пароль в 100 символов. Интересно есть ли ограничения на длину пароля ? К моей базе данных в phpmyadmin (когда пользователя создаешь) - я тоже использовал пароль в 100 символов. Если ещё и воспользоваться волшебным файлом .htaccess и сделать через него авторизацию по паролю в 100 символов, думаю это будет 99% защита от взлома. 99% потому, что все таки есть вероятность в перехвате пароля (тип аутентификации то базовый (Basic). Почему не работает второй тип аутентификации (digest) не пойму, скорее всего из за того, что дополнительный модуль не установлен. Вот некоторая информация по второму типу:

WEB-сервер Apache поддерживает еще один вид защиты — digest-аутентификацию. При digest-аутентификации пароль передается не в открытом виде, а в виде хеш-кода, вычисленному по алгоритму MD5. Поэтому пароль не может быть перехвачен при сканировании трафика. Но, к сожалению, для использования digest-аутентификации необходимо установить на сервер специальный модуль - mod_auth_digest. А это находится только в компетенции администрации сервера. Также, до недавнего времени, digest-аутентификация поддерживалась не всеми видами браузеров.

Интересно, а где этот модуль mod_auth_digest скачать можно ? Я все хочу себе второй тип аутентификации установить - более продвинутый так сказать.