Железная защита форума при помощи .htaccess & .htpasswd

PifaGor · Сообщение **PifaGor** » 27.02.2006 17:58

Siava Спасибо!
То есть надо в htpasswd делать логин пользователя на хостинге? на директорию только 755 работает, в тех поддержке хостинга сказали нормально) на сам файл установил 444.
PSИ все же про posting.php очень интересно

okunev2 · Сообщение **okunev2** » 22.03.2006 11:09

YarNET писал(а):Итак, в связи с участившимися взломами форумов из-за различного рода уязвимостей в коде исходного phpBB, есть предложение несколько уменьшить риск полной потери контроля на администрируемом вами форуме за счет использования паролирования директории /admin/ и файла modcp.php – первое обеспечит защиту от нелегального доступа к панели администрирования, второе ограничит доступ к панели модерирования.

Защищаем директорию /admin/

Создаем файл .htaccess, который будет находится в директории /admin/
Его содержание:

Код:

AuthUserFile /полный путь к директории, в которой находится файл с паролями /.htpasswd
AuthName "Access to the panel of administration"
AuthType Basic

<Limit GET POST>
require valid-user
</Limit>

Дале, защищаем панель модерации форумов modcp.php
Создаем файл .htaccess, который будет находится там же, где и modcp.php, т.е. в корневом каталоге.
Его содержание:

Код:

<Files modcp.php>
AuthName "Access to the panel of the moderator"
AuthType Basic
AuthUserFile / полный путь к директории, в которой находится файл с паролями /.htpasswd
require valid-user
</Files>

Теперь при помощи специальной утилиты создадим файл .htpasswd, в котором будут содержаться пароли доступа в зашифрованном виде (MD5 Unix)
Скачать программу для создания паролей здесь

Теперь практически все готово, остается придумать название директории, которую вы создадите и положите в нее два файла: один .htpasswd – ваши пароли, второй – еще один .htaccess для защиты этой директории следующего содержания:

Код:

<Files .htpasswd>
deny from all
</Files>

Теперь все сделано. Это минимизирует возможные потери информации и пр. в случаи взлома форума и получения прав администратора злоумушленником.

Большое спасибо YarNET, сделал все как здесь написано работает!

Я указал для директории admin Chmod = 755 а всем файлам внутри 644 - ПРАВИЛЬНО!

И еще ситуация такая, я защетил файл modcp.php как написано в начале поста, код .htaccess таков:

Код: Выделить всё

<Files modcp.php>
AuthType Basic
AuthName "Access to the panel of MODERATORS !"
AuthUserFile /home/www/krb/forum/pass/.htpasswd
<Limit GET POST>
	require valid-user
</Limit>
</Files>

У меня возник вопрос, а еще же в корневой директории лежит config.php в нем же прописан пароль к базе sql и прочие настройки, как его защитить так же через этот .htaccess, ПОДСКАЖИТЕ как правильно дописать код в нем, которым я защетил modcp.php ТАК ЖЕ для config.php

Сообщение **Siava** » 22.03.2006 11:58

okunev2
config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..

okunev2 · Сообщение **okunev2** » 23.03.2006 8:04

И ка быть в такой ситуации!

admir · Сообщение **admir** » 25.03.2006 21:54

недопускать дырки , тк прочитать файл можно из фтп

okunev2 · Сообщение **okunev2** » 26.03.2006 13:23

И как быть в этой ситуации?

Никто · Сообщение **Никто** » 26.03.2006 14:49

Siava писал(а):config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..

Ну тогда можно засунуть конфик подальше в папки со сгенерированным именем md5 кодером...

okunev2 · Сообщение **okunev2** » 26.03.2006 15:49

Никто писал(а):
Siava писал(а):config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
Ну тогда можно засунуть конфик подальше в папки со сгенерированным именем md5 кодером...

т.е. , не понятно, подробнее можно, если не трудно

VVVas · Сообщение **VVVas** » 26.03.2006 19:53

okunev2
не тормозите

admir писал(а):недопускать дырки , тк прочитать файл можно из фтп

Picasso · Сообщение **Picasso** » 13.04.2006 1:26

Небольшая поправка:

YarNET писал(а):Теперь при помощи специальной утилиты создадим файл .htpasswd, в котором будут содержаться пароли доступа в зашифрованном виде (MD5 Unix)
Скачать программу для создания паролей здесь

Попытался скачать, в ответ получил:

The Web site cannot be found
HTTP 404 - File not found
--------------------------------------------------------------------------------
The Magenta Systems web site has been recently redesigned, and you are attempting to access a page:
/apps/passwd12.zip
that no longer exists.
--------------------------------------------------------------------------------
The new URL is http://www.magsys.co.uk:80/download/software/passwd.zip
You will be automatically redirected to this new URL after 10 seconds.
If you followed a link to this site please inform them of the new URL

Соответственно качаем теперь здесь

Arhar · Сообщение **Arhar** » 13.04.2006 15:50

Прочитал всю тему.
На гавнаве, то есть агаве
все файлы созданы правильно
при входе пароль не спрашивает, сразу заходит и всё.

попытался http://www.cgi-central.net/scripts/htedit/
на гавнаве выдаётся ошибка CGI при попытке запустить этот файл, хотя папка cgi для скриптов там есть, может необходимо как-то особенно обращатся к этому скрипту, не открывать его по ссылке в браузере?

Добавлено спустя 19 минут 42 секунды:

ааааа
так вот, надо было перезагрузить компьютер, чтоб заработало...
как чёрт возьми это связано???

Максим Босой · 14.06.2006 17:55

Народ, всё сделал по инструкциям.

Менял даже проги для создания пароля.

Вводил все комбинации путей.

На локалхосте не пашет!

Не принимает пароль.

Может всё-таки дело в путях? Проверьте...

Сервер выдает адрес корня форума как

Z:\home\mysite.ru\forum

В браузере мой форум запускается как http://forum.mysite.ru

Пароль лежит в папке \parol\ в корне форума.

В файле .htaccess какой путь ставить?

По логике

/parol/.htpasswd

(хотя пробовал путь удлинять вплоть)

**********

Или может что-то в настройках сервера?

Ставил по Denver2.

В чем причина?

Спасибо заранее.

Максим

Сообщение **Siava** » 14.06.2006 20:09

Максим Босой
Путь к файлу пароля должен быть полный от самого корня файловой системы.

Максим Босой · 14.06.2006 20:18

Siava писал(а):Максим Босой
Путь к файлу пароля должен быть полный от самого корня файловой системы.

Значит в моём случае это будет так:

AuthUserFile z:/home/mysite.ru/forum/parol/.htpasswd

или так

AuthUserFile /home/mysite.ru/forum/parol/.htpasswd

В обоих случаях глухо. Неверный пароль.

М.

Assassin · Сообщение **Assassin** » 15.06.2006 0:58

Максим Босой
/home/www/yoursite/htdocs/forum/parol/.htpasswd
возможно.

phpBB Guru - Официальная русская поддержка форума phpBB

Железная защита форума при помощи .htaccess & .htpasswd

Re: Железная защита форума при помощи .htaccess & .htpas

Ну не пашет на локалхосте!