Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Железная защита форума при помощи .htaccess & .htpasswd
-
- phpBB 1.0.0
- Сообщения: 4
- Стаж: 18 лет 9 месяцев
-
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 18 лет 8 месяцев
YarNET писал(а):Итак, в связи с участившимися взломами форумов из-за различного рода уязвимостей в коде исходного phpBB, есть предложение несколько уменьшить риск полной потери контроля на администрируемом вами форуме за счет использования паролирования директории /admin/ и файла modcp.php – первое обеспечит защиту от нелегального доступа к панели администрирования, второе ограничит доступ к панели модерирования.
Защищаем директорию /admin/
Создаем файл .htaccess, который будет находится в директории /admin/
Его содержание:
Код:
AuthUserFile /полный путь к директории, в которой находится файл с паролями /.htpasswd
AuthName "Access to the panel of administration"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>
Дале, защищаем панель модерации форумов modcp.php
Создаем файл .htaccess, который будет находится там же, где и modcp.php, т.е. в корневом каталоге.
Его содержание:
Код:
<Files modcp.php>
AuthName "Access to the panel of the moderator"
AuthType Basic
AuthUserFile / полный путь к директории, в которой находится файл с паролями /.htpasswd
require valid-user
</Files>
Теперь при помощи специальной утилиты создадим файл .htpasswd, в котором будут содержаться пароли доступа в зашифрованном виде (MD5 Unix)
Скачать программу для создания паролей здесь
Теперь практически все готово, остается придумать название директории, которую вы создадите и положите в нее два файла: один .htpasswd – ваши пароли, второй – еще один .htaccess для защиты этой директории следующего содержания:
Код:
<Files .htpasswd>
deny from all
</Files>
Теперь все сделано. Это минимизирует возможные потери информации и пр. в случаи взлома форума и получения прав администратора злоумушленником.
Большое спасибо YarNET, сделал все как здесь написано работает!
Я указал для директории admin Chmod = 755 а всем файлам внутри 644 - ПРАВИЛЬНО!
И еще ситуация такая, я защетил файл modcp.php как написано в начале поста, код .htaccess таков:
Код: Выделить всё
<Files modcp.php>
AuthType Basic
AuthName "Access to the panel of MODERATORS !"
AuthUserFile /home/www/krb/forum/pass/.htpasswd
<Limit GET POST>
require valid-user
</Limit>
</Files>
-
- Поддержка
- Сообщения: 5360
- Стаж: 19 лет 10 месяцев
- Откуда: Питер
- Благодарил (а): 192 раза
- Поблагодарили: 828 раз
okunev2
config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 18 лет 8 месяцев
-
- phpBB 1.0.0
- Сообщения: 2
- Стаж: 18 лет 8 месяцев
-
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 18 лет 8 месяцев
-
- Advanced Lamers Team
- Сообщения: 316
- Стаж: 18 лет 10 месяцев
- Откуда: Химки
- Забанен: Бессрочно
Ну тогда можно засунуть конфик подальше в папки со сгенерированным именем md5 кодером...Siava писал(а):config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
Долой edgar'a - самого тупого юзера на форуме!
-
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 18 лет 8 месяцев
т.е. , не понятно, подробнее можно, если не трудноНикто писал(а):Ну тогда можно засунуть конфик подальше в папки со сгенерированным именем md5 кодером...Siava писал(а):config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
-
- Former team member
- Сообщения: 4463
- Стаж: 20 лет
- Поблагодарили: 1 раз
-
- phpBB 1.4.2
- Сообщения: 62
- Стаж: 19 лет 4 месяца
- Откуда: Москва
Re: Железная защита форума при помощи .htaccess & .htpas
Небольшая поправка:
Попытался скачать, в ответ получил:YarNET писал(а):Теперь при помощи специальной утилиты создадим файл .htpasswd, в котором будут содержаться пароли доступа в зашифрованном виде (MD5 Unix)
Скачать программу для создания паролей здесь
Соответственно качаем теперь здесьThe Web site cannot be found
HTTP 404 - File not found
--------------------------------------------------------------------------------
The Magenta Systems web site has been recently redesigned, and you are attempting to access a page:
/apps/passwd12.zip
that no longer exists.
--------------------------------------------------------------------------------
The new URL is http://www.magsys.co.uk:80/download/software/passwd.zip
You will be automatically redirected to this new URL after 10 seconds.
If you followed a link to this site please inform them of the new URL
ибо нефиг!
-
- phpBB 1.2.1
- Сообщения: 21
- Стаж: 18 лет 9 месяцев
Прочитал всю тему.
На гавнаве, то есть агаве
все файлы созданы правильно
при входе пароль не спрашивает, сразу заходит и всё.
попытался http://www.cgi-central.net/scripts/htedit/
на гавнаве выдаётся ошибка CGI при попытке запустить этот файл, хотя папка cgi для скриптов там есть, может необходимо как-то особенно обращатся к этому скрипту, не открывать его по ссылке в браузере?
Добавлено спустя 19 минут 42 секунды:
ааааа
так вот, надо было перезагрузить компьютер, чтоб заработало...
как чёрт возьми это связано???
На гавнаве, то есть агаве
все файлы созданы правильно
при входе пароль не спрашивает, сразу заходит и всё.
попытался http://www.cgi-central.net/scripts/htedit/
на гавнаве выдаётся ошибка CGI при попытке запустить этот файл, хотя папка cgi для скриптов там есть, может необходимо как-то особенно обращатся к этому скрипту, не открывать его по ссылке в браузере?
Добавлено спустя 19 минут 42 секунды:
ааааа
так вот, надо было перезагрузить компьютер, чтоб заработало...
как чёрт возьми это связано???
Мне 16 лет и впервые открыл я phpBB с момента регистрации на этом форуме, поэтому НЕ НАДО ПОСЫЛАТЬ МЕНЯ В ПОИСК!
-
- phpBB 1.2.1
- Сообщения: 25
- Стаж: 18 лет 9 месяцев
Ну не пашет на локалхосте!
Народ, всё сделал по инструкциям.
Менял даже проги для создания пароля.
Вводил все комбинации путей.
На локалхосте не пашет!
Не принимает пароль.
Может всё-таки дело в путях? Проверьте...
Сервер выдает адрес корня форума как
Z:\home\mysite.ru\forum
В браузере мой форум запускается как http://forum.mysite.ru
Пароль лежит в папке \parol\ в корне форума.
В файле .htaccess какой путь ставить?
По логике
/parol/.htpasswd
(хотя пробовал путь удлинять вплоть)
**********
Или может что-то в настройках сервера?
Ставил по Denver2.
В чем причина?
Спасибо заранее.
Максим
Менял даже проги для создания пароля.
Вводил все комбинации путей.
На локалхосте не пашет!
Не принимает пароль.
Может всё-таки дело в путях? Проверьте...
Сервер выдает адрес корня форума как
Z:\home\mysite.ru\forum
В браузере мой форум запускается как http://forum.mysite.ru
Пароль лежит в папке \parol\ в корне форума.
В файле .htaccess какой путь ставить?
По логике
/parol/.htpasswd
(хотя пробовал путь удлинять вплоть)
**********
Или может что-то в настройках сервера?
Ставил по Denver2.
В чем причина?
Спасибо заранее.
Максим
-
- Поддержка
- Сообщения: 5360
- Стаж: 19 лет 10 месяцев
- Откуда: Питер
- Благодарил (а): 192 раза
- Поблагодарили: 828 раз
Максим Босой
Путь к файлу пароля должен быть полный от самого корня файловой системы.
Путь к файлу пароля должен быть полный от самого корня файловой системы.
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- phpBB 1.2.1
- Сообщения: 25
- Стаж: 18 лет 9 месяцев
-
- phpBB 1.2.1
- Сообщения: 25
- Стаж: 18 лет 7 месяцев