Aufbau des eigenen phpBB

Artikel, Anleitungen, Minikurse und Leitfaden für alle möglichen PC-Themen und PHP/phpBB.
Antworten
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Aufbau des eigenen phpBB

Beitrag von oxpus »

Wenn man ein Board eingerichtet hat, freut man sich, wenn es läuft. Dieser Beitrag soll ein paar Tipps geben, wie ihr dazu beitragen könnt, dass euer Board auch lange läuft und nicht irgendwann Opfer von Hackangriffen oder dergleichen wird. Die Hinweise stellen sicherlich die Idealform dar - in wie weit ihr sie umsetzt, bleibt euch überlassen.

Das Umfeld
Wenn euer Board tatsächlich laufen soll, sucht euch einen seriösen Provider aus. Je wichtiger euch das Board ist, desto wichtiger sollte euch auch die Providerwahl sein. Zwar mag für mache ein Freehoster ausreichen, wenn es allerdings um Fragen wie Verfügbarkeit oder Backups geht, bietet euch ein kommerzieller Provider deutlich mehr. Ggf. könnt ihr auch Verträge abschließen, die euch eine Verfügbarkeit garantieren oder eine Hotline anbieten. Bei Fragen zur Providerwahl steht das entsprechende Forum zur Verfügung.

Auch eine wichtige Frage ist, wer Zugriff auf euer Board erhält: also die Frage der Moderatoren und Administratoren. Vor allem die Zahl der Administratoren solltet ihr klein halten und auf Personen begrenzen, zu denen ihr ein entsprechendes Vertrauen habt. Gleiches gilt - wenn auch in geringerem Ausmaß - für die Moderatoren. Wenn euch einer einfach so fragt, ob er Moderator oder Admin werden kann, solltet ihr das zumindest kritisch begutachten.

Die Installation
Verwendet die aktuelle Version der Forensoftware und führt ggf. Sicherheitsupdates durch. Die meisten Updates stopfen mehr oder minder große Sicherheitslöcher - und sollten daher auch installiert werden. Es kommt auch vor, dass das Web systematisch nach älteren Versionen durchsucht wird, um die Foren dann zu hacken.

Sichert das Admin-Verzeichnis mit einem Passwort. Wie ihr das genau macht, könnt ihr bei eurem Provider erfahren. Bei Appache-Servern geht es i.d.R. über die .htaccess-Datei. Das ganze schafft euch zusätzliche Sicherheit, da selbst mit einem Admin-Account alleine nicht auf den Admin-Bereich zugegriffen werden kann.

Mods: übertreibt es nicht mit vielen Mods. Passt auf, dass ihr beim Modden keine zusätzlichen Fehler einbaut. Die Mods werden i.d.R. auch nicht so genau kontrolliert wie die eigentliche Forensoftware und können daher noch viel eher ein Sicherheitsrisiko darstellen. Achtet darauf, dass ihr Mods aus vertrauenswürdiger Quelle verwendet und nicht jede Zeile Code einbaut, die euch so über den Weg läuft.

Die Organisation bzw. die Ordnung
Verwendet für die Rechte-Vergabe i.d.R. Gruppen. So behaltet ihr den Überblick, da ihr sehen könnt, wer auf welches Forum zugreifen darf und wer nicht. Die Vergabe von Einzelrechten führt schnell zu einem unübersichtlichen Chaos.

Haltet die Verzeichnisstruktur eures Forums sauber. In das Verzeichnis gehören die Dateien des Forums - und sonst nichts. Das hat zwar direkt keinen Einfluss auf die Sicherheit, macht euch die Arbeit aber deutlich einfacher und vermeidet Fehler.

Fertigt Backups eures Forums an und überprüft auch, ob sie vollständig sind (wenn ihr die Backup-Funktion des Forums verwendet, sollte die phpbb_words-Tabelle als letztes in der Sicherungsdatei stehen). Auch die Foren-Dateien gehören zum Backup. Selbst wenn euer Provider das evtl. auch machen sollte: nur ein selbst gemachtes Backup ist auch sicher gemacht. Dass das ganze bei professionellen Providern schief gehen kann, zeigen verschiedene Fälle der Vergangenheit. Und lieber ein Backup zu viel als eins zu wenig.

Verwendet die Account-Aktivierung. So wird der Anmeldeprozess etwas erschwert bzw. (bei Freischaltung durch den Admin) nur nach eurer Überprüfung möglich. Außerdem habt ihr im Ernstfall zumindest eine E-Mail-Adresse, die zum Zeitpunkt der Anmeldung gültig war.

Das Passwort
Auch wenn meist unbeliebt, so ist das Passwort von zentraler Bedeutung. Im Idealfall sollte das FTP-Passwort eures Providers, das der Datenbank, das des Zugriffsschutzes für das Admin-Verzeichnis (s.o.) und euer Benutzerpasswort verschieden sein. Die Passwörter sollten dabei so gewählt sein, dass man sie nicht leicht erraten kann und sollten auch nicht unbedingt dem Benutzernamen entsprechen. Je mehr Zeichen und je verschiedener die Zeichen, desto besser. Die Verwendung von Sonderzeichen macht die Sache für Hacker dann noch schwerer.

Ändert vor allem die Passwörter der Admin-Accounts regelmäßig.

Vermeidet bei den Admin-Accounts, dass ihr den automatischen Login verwendet. Vor allem wenn ihr auf einem fremden Rechner arbeitet: meldet euch nach der Benutzung des Forums wieder ab.

Was ihr sonst noch machen könnt
Die folgenden Punkte sind vor allem für die interessant, bei denen ein längerer Forenausfall größere Auswirkungen haben könnte.

Trennt den Admin-Account von eurem normalen User-Account. Dabei habt ihr zwei Accounts, wobei ihr den ersten (mit normalen User-Rechten oder ggf. Moderator-Rechten) für die normale Arbeit verwendet. Für alle Admin-Aktivitäten verwendet ihr einen zweiten Account, der möglichst einen unscheinbaren Namen hat und nicht zum Posten verwendet wird. Dieser Account sollte auch nicht der sein, der bei der Installation automatisch angelegt wird, da er sonst über die ID zu identifizieren ist. Der Online-Status dieses Admin-Accounts sollte natürlich auch deaktiviert sein.

Prüft die Tabelle phpbb_users regelmäßig auf Benutzer mit dem user_level '1'. Diese User haben Admin-Rechte. Sollte hier ein unbekannter User auftauchen, so sollten bei euch alle Alarmglocken läuten.

Übt den Ernstfall (das ist jetzt was für die ganz harten). Installiert euch das Forum lokal und spielt mögliche Szenarien durch (z.B. Rückspielen eines Backups, entfernen falscher Admin-Accounts, Überprüfung der gesetzten Rechte, ...).

Legt eine Liste mit den wichtigen Ansprechpartnern an. Auf der Liste sollten (neben phpbb.de ) alle wichtigen Kontakte drauf stehen, die im Notfall hilfreich seien könnten, wie z.B. die Support-Nummer des Providers und die Vertragsdaten.


Das ganze gibt euch zwar keine Garantie, dass alles problemlos läuft, aber ihr vermeidet mögliche Schäden und deren Wahrscheinlichkeit.

( Quelle: PhilippK auf phpbb.de )
Zuletzt geändert von oxpus am Di 08.Nov, 2005 20:37, insgesamt 2-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Antworten