Центр пользователя  |  Ваши сообщения  |  FAQ
Форум поддержки phpBB » phpBB » Обсуждение phpBB

Защита форума от взлома

Общение на любые темы о форуме и движении phpBB

Сообщение 02 окт 2012, 19:13

Здравствуйте уважаемые формучане! Предлагаю в этой теме обсудить такой вопрос как защита форума PHPBB от взлома хакерами. Я понимаю, что защитить форум от профессиональных хакеров, думаю не возможно, но минимизировать риск порчи и потери данных при взломе мы можем. Речь пойдет о таком «волшебном» файле как .htaccess – думаю, многие знают его назначение. Для тех, кто не знает, поясню:

.htaccess (с точкой в начале имени) – это файл, который дает возможность конфигурировать работу сервера в отдельных директориях (папках), не предоставляя доступа к главному конфигурационному файлу. Например, устанавливать права доступа к файлам в директории, менять названия индексных файлов, самостоятельно обрабатывать ошибки Apache, перенаправляя посетителей на специальные страницы ошибок и многое другое.

Сейчас я на своем примере покажу, как с помощью этого файла защитил паролем директории Phpmyadmin и adm (пример будет для одной директории т.к. действия аналогичные).

1. С помощью данной программы (см. фото) создаем файл с паролями (.htpasswd). В принципе название файла можно создать и другое.
2. Создаем файл .htaccess (я создавал с помощью текстового редактора Notepad++).
3. Переносим файл .htaccess в ту директорию, которую хотим защитить, а файл .htpasswd желательно разместить вне корневой директории нашего сайта – если это не возможно, то его необходимо будет защитить ещё одним файлом .htaccess (об этом чуть позже).
4. Вносим в созданный нами файл .htaccess директивы:

AuthName "Protected area, need authorization" - Выводит сообщение при запросе пароля.
AuthType Basic - Тип используемой аутентификации.
AuthUserFile /VertrigoServ/.htpasswd - полный путь к файлу с паролями (.htpasswd). Внимание! Путь к файлу нужно указывать относительно корневой папки сервера! Например, у вас сервер (в моем случае VertrigoServ) стоит на диске «С» - правильный путь будет выглядеть так: /VertrigoServ/путь к файлу с паролями/.htpasswd а не С:/ VertrigoServ/путь к файлу с паролями/.htpasswd! Проверено!
require user Aleksey - определяет пользователей, которые могут получить доступ (в моем случае Aleksey).

Далее -> теперь нужно защитить наш файл с паролями (.htpasswd) от несанкционированного доступа. Для этого создаем ещё один файл .htaccess (оба файла .htpasswd и .htaccess должны быть в одной директории). Вносим в созданный нами файл .htaccess директивы:
<Files .htpasswd>
deny from all
</Files>

Все готово, теперь наша директория защищена паролем, выкладываю фото:
Первое фото - программа для создания паролей (её можно найти в сети) - мне больше подходит версия для Windows, чем работать с командной строкой. Второе фото - защита директории Phpmyadmin (дополнительная авторизация при входе в Phpmyadmin, третье фото - защита директории adm (дополнительная авторизация при входе в центр администрирования).
Вложения
2.jpg
2.jpg (65.82 KiB) Просмотров: 2549
3.jpg
4.jpg
Aleksey
Активный участник
 
Сообщений: 66
Зарегистрирован:
20 сен 2012, 10:34
Благодарил (а): 23 раз.
Поблагодарили: 0 раз.

Сообщение 02 окт 2012, 21:27

Самое интересное, что открыв файл с нашими паролями (.htpasswd) мы можем увидеть свой пароль, что очень удобно например если мы забудем его (см.фото). На фото он выделен. Соответственно из интернета обычным посетителям сайта файл .htpasswd не будет доступен в том случае - если вы защитили его файлом .htaccess прописав в него соответствующие директивы (см.пост выше). В ближайшее время постараюсь настроить другие функции файла .htaccess и продолжу тему. Думаю дополнительная защита не когда не помешает. Но т.к. я новичок в этом деле можно сказать - обязательно будут вопросы.
Вложения
5.jpg
5.jpg (30.44 KiB) Просмотров: 2536
Aleksey
Активный участник
 
Сообщений: 66
Зарегистрирован:
20 сен 2012, 10:34
Благодарил (а): 23 раз.
Поблагодарили: 0 раз.

Сообщение 03 окт 2012, 06:21

только не забываем, что это пароль не в чистом виде. А вообще http://www.htaccess.net.ru/ все давно придумано за нас :)
crash
Поддержка
 
Сообщений: 11348
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.

Сообщение 03 окт 2012, 09:40

crash писал(а):только не забываем, что это пароль не в чистом виде.


Вот тут у меня первый вопрос - именно когда этот пароль ввожу в окно авторизации, то авторизация проходит, а когда ввожу тот, который указывал в программе "Encode UNIX Password" (изначально) - не проходит. Может я что не так сделал? ;) . Получается можно открыть любой программой файл .htpasswd и посмотреть пароль? По идее он там зашифрован должен быть в файле .htpasswd

crash писал(а):А вообще http://www.htaccess.net.ru/ все давно придумано за нас :)


Хороший ресурс! crash вам +1. Я интернет облазил по этому файлу, но на разных ресурсах по разному написано, а тут все в одном месте и грамотно составлено так сказать. Но все равно тему прошу не закрывать мою т.к. наверняка у людей кто воспользуется этими настройками защиты так сказать - могут возникнуть вопросы, да и просто на примерах показать как та или иная функция работает :) .
Aleksey
Активный участник
 
Сообщений: 66
Зарегистрирован:
20 сен 2012, 10:34
Благодарил (а): 23 раз.
Поблагодарили: 0 раз.

Сообщение 03 окт 2012, 10:23

Aleksey писал(а):По идее он там зашифрован должен быть

конечно должен быть зашифрован.
Aleksey писал(а): тему прошу не закрывать мою

да вроде никто и не закрывает
crash
Поддержка
 
Сообщений: 11348
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.

Сообщение 03 окт 2012, 17:03

А не подскажите какие директории нужно защитить (см.фото) ? Первое фото - содержание сервера, второе - содержание папки с моим форумом. И ещё интересует вопрос - как защитить (паролем, вообще закрыть доступ, сделать доступ только с моего локального компьютера или доступ по IP)? Главное чтобы это не отразилось на функционировании форума, а то закрою доступ к базе mysql допустим и вообще форум перестанет работать к примеру. Какие директории отвечают за пользователей (регистрация, вложения и т.д.) ? Или это все в базу mysql только прописывается ? Как бы лишнего не "защитить". Речь идет о защите с помощью файла .htaccess ! Я как то закрыл доступ в phpMyAdmin, так вообще и сам не попал туда... Например как сделать такое сообщение (см.фото 3) - чтобы пользователи, которые идут по адресу: адрес сайта\adm - (пытающиеся получить доступ в административную часть форума) видели такое сообщение. Или это на любом форуме не зависимо от настроек будет такое сообщение (встроено в PHPBB) ?
Вложения
1.jpg
2.jpg
3.jpg
Aleksey
Активный участник
 
Сообщений: 66
Зарегистрирован:
20 сен 2012, 10:34
Благодарил (а): 23 раз.
Поблагодарили: 0 раз.

Сообщение 03 окт 2012, 17:32

Соответственно на вашем форуме эта проблема решена: http://forum.bb3x.ru/adm/
Вложения
5.jpg
Последний раз редактировалось Aleksey 03 окт 2012, 17:41, всего редактировалось 1 раз.
Aleksey
Активный участник
 
Сообщений: 66
Зарегистрирован:
20 сен 2012, 10:34
Благодарил (а): 23 раз.
Поблагодарили: 0 раз.

Сообщение 03 окт 2012, 17:34

Aleksey писал(а):Например как сделать такое сообщение (см.фото 3) - чтобы пользователи, которые идут по адресу: адрес сайта\adm - (пытающиеся получить доступ в административную часть форума) видели такое сообщение.

это сделано по-умолчанию. Вы бы ради интереса проверили сами на своем форуме попытавшись зайти не под логином админа.
Aleksey
Никакие папки закрывать не надо. Хотите закрыть adm то закройте, остальное не трогайте
crash
Поддержка
 
Сообщений: 11348
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.

Сообщение 03 окт 2012, 17:39

crash

Спасибо за советы, просто я слышал, что через phpMyAdmin можно получить доступ к базам данных - его (phpMyAdmin) тоже посоветовали закрыть или защитить хотя бы паролем. Я почему переживаю - у меня обычный стационарный компьютер с установленным на нем сервером и форумом. Я ведь не знаю какие программы на хостингах используют от взлома и т.д. - другими словами у меня опыта нет в этом деле. Форум хоть и тестовый, но все равно в дальнейшем будет функционировать в интернете, и как я говорил - услугами хостинга пользоваться не планирую, разве что только покупка домена...
Aleksey
Активный участник
 
Сообщений: 66
Зарегистрирован:
20 сен 2012, 10:34
Благодарил (а): 23 раз.
Поблагодарили: 0 раз.

Сообщение 03 окт 2012, 17:51

Aleksey
phpmyadmin тоже можете закрыть, если вам от этого будет легче. Но phpmyadmin сам по себе при правильной настройке спрашивает логин/пароль для доступа к базе.
crash
Поддержка
 
Сообщений: 11348
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.


Вернуться в Обсуждение phpBB

 


  • Похожие темы
    Ответов
    Просмотров
    Последнее сообщение

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Форум поддержки phpBB
2008 - 2017 © BB3x.ru - русская поддержка форума phpBB3
Создано на основе phpBB® Forum Software © phpBB Group
+ 17 предустановленных модов
+ SEO-оптимизация форума
+ авторизация через соц. сети
+ защита от спама