Железная защита форума при помощи .htaccess & .htpasswd

[PifaGor]

Siava Спасибо!
То есть надо в htpasswd делать логин пользователя на хостинге? на директорию только 755 работает, в тех поддержке хостинга сказали нормально) на сам файл установил 444.
PSИ все же про posting.php очень интересно

[okunev2]

Итак, в связи с участившимися взломами форумов из-за различного рода уязвимостей в коде исходного phpBB, есть предложение несколько уменьшить риск полной потери контроля на администрируемом вами форуме за счет использования паролирования директории /admin/ и файла modcp.php – первое обеспечит защиту от нелегального доступа к панели администрирования, второе ограничит доступ к панели модерирования.

Защищаем директорию /admin/

Создаем файл .htaccess, который будет находится в директории /admin/
Его содержание:

Код:

AuthUserFile /полный путь к директории, в которой находится файл с паролями /.htpasswd
AuthName "Access to the panel of administration"
AuthType Basic

<Limit GET POST>
require valid-user
</Limit>



Дале, защищаем панель модерации форумов modcp.php
Создаем файл .htaccess, который будет находится там же, где и modcp.php, т.е. в корневом каталоге.
Его содержание:


Код:

<Files modcp.php>
AuthName "Access to the panel of the moderator"
AuthType Basic
AuthUserFile / полный путь к директории, в которой находится файл с паролями /.htpasswd
require valid-user
</Files>



Теперь при помощи специальной утилиты создадим файл .htpasswd, в котором будут содержаться пароли доступа в зашифрованном виде (MD5 Unix)
Скачать программу для создания паролей здесь

Теперь практически все готово, остается придумать название директории, которую вы создадите и положите в нее два файла: один .htpasswd – ваши пароли, второй – еще один .htaccess для защиты этой директории следующего содержания:

Код:

<Files .htpasswd>
deny from all
</Files>



Теперь все сделано. Это минимизирует возможные потери информации и пр. в случаи взлома форума и получения прав администратора злоумушленником.

Большое спасибо YarNET, сделал все как здесь написано работает!

Я указал для директории admin Chmod = 755 а всем файлам внутри 644 - ПРАВИЛЬНО!

И еще ситуация такая, я защетил файл modcp.php как написано в начале поста, код .htaccess таков:

Код: Выделить всё

<Files modcp.php>
AuthType Basic
AuthName "Access to the panel of MODERATORS !"
AuthUserFile /home/www/krb/forum/pass/.htpasswd
<Limit GET POST>
   require valid-user
</Limit>
</Files>


У меня возник вопрос, а еще же в корневой директории лежит config.php в нем же прописан пароль к базе sql и прочие настройки, как его защитить так же через этот .htaccess, ПОДСКАЖИТЕ как правильно дописать код в нем, которым я защетил modcp.php ТАК ЖЕ для config.php

[Siava]

okunev2
config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..

[okunev2]

И ка быть в такой ситуации!

[admir]

недопускать дырки , тк прочитать файл можно из фтп

[okunev2]

И как быть в этой ситуации?

[Никто]

config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..

Ну тогда можно засунуть конфик подальше в папки со сгенерированным именем md5 кодером...

[okunev2]

config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..

Ну тогда можно засунуть конфик подальше в папки со сгенерированным именем md5 кодером...

т.е. , не понятно, подробнее можно, если не трудно

[VVVas]

okunev2
не тормозите

недопускать дырки , тк прочитать файл можно из фтп

[Picasso]

Небольшая поправка:

Теперь при помощи специальной утилиты создадим файл .htpasswd, в котором будут содержаться пароли доступа в зашифрованном виде (MD5 Unix)
Скачать программу для создания паролей здесь

Попытался скачать, в ответ получил:

The Web site cannot be found
HTTP 404 - File not found
--------------------------------------------------------------------------------
The Magenta Systems web site has been recently redesigned, and you are attempting to access a page:
/apps/passwd12.zip
that no longer exists.
--------------------------------------------------------------------------------
The new URL is http://www.magsys.co.uk:80/download/software/passwd.zip
You will be automatically redirected to this new URL after 10 seconds.
If you followed a link to this site please inform them of the new URL

Соответственно качаем теперь здесь

[Arhar]

Прочитал всю тему.
На гавнаве, то есть агаве
все файлы созданы правильно
при входе пароль не спрашивает, сразу заходит и всё.

попытался http://www.cgi-central.net/scripts/htedit/
на гавнаве выдаётся ошибка CGI при попытке запустить этот файл, хотя папка cgi для скриптов там есть, может необходимо как-то особенно обращатся к этому скрипту, не открывать его по ссылке в браузере?

Добавлено спустя 19 минут 42 секунды:

ааааа
так вот, надо было перезагрузить компьютер, чтоб заработало...
как чёрт возьми это связано???

[Максим Босой]

Народ, всё сделал по инструкциям.

Менял даже проги для создания пароля.

Вводил все комбинации путей.

На локалхосте не пашет!

Не принимает пароль.

Может всё-таки дело в путях? Проверьте...

Сервер выдает адрес корня форума как

Z:\home\mysite.ru\forum

В браузере мой форум запускается как http://forum.mysite.ru

Пароль лежит в папке \parol\ в корне форума.

В файле .htaccess какой путь ставить?

По логике

/parol/.htpasswd

(хотя пробовал путь удлинять вплоть)

**********

Или может что-то в настройках сервера?

Ставил по Denver2.

В чем причина?

Спасибо заранее.

Максим

[Siava]

Максим Босой
Путь к файлу пароля должен быть полный от самого корня файловой системы.

[Максим Босой]

Максим Босой
Путь к файлу пароля должен быть полный от самого корня файловой системы.

Значит в моём случае это будет так:

AuthUserFile z:/home/mysite.ru/forum/parol/.htpasswd

или так

AuthUserFile /home/mysite.ru/forum/parol/.htpasswd


В обоих случаях глухо. Неверный пароль.

М.

[Assassin]

Максим Босой
/home/www/yoursite/htdocs/forum/parol/.htpasswd
возможно.