2 Fragen

Sicherheit des Webservers, der Server und rund um phpBB
Antworten
Benutzeravatar
Giga4000
Beiträge: 181
Registriert: Sa 26.Nov, 2005 09:19
Wohnort: Hamburg
Kontaktdaten:

2 Fragen

Beitrag von Giga4000 »

Hi,

Erste Frage: Ich habe in meiner .htaccess folgendes stehen:

Code: Alles auswählen

<Files config.php>
Deny from all
</Files>
Nun würde ich aber gerne noch die Dateien .htaccess und .htpasswd hinzufügen ... wie bekomme ich das hin ???

Zweite Frage:

Für die Sicherheit von meinem phpBB habe ich den CrackerTracker und diese .htaccess, allerdings mit noch dieser Erweiterung:

Code: Alles auswählen

RewriteEngine On

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*).system(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd=
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent Perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Außerdem schütze ich einige Ordner noch mit einem PW !!!

Die phpBB Version ist 2.0.18 ... gibt es sonst noch irgendetwas, was ich für die Sicherheit machen kann ???
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Um Verzichnisse mit einem Passwort zu schützen, verwende deinen FTP-Client oder die Webspace/Server-Verwaltung deines Providers. Beide können sowas erstellen.
Für das Forum selber macht es aber weniger Sinn, es sei denn, alle deine User kennen dann das Passwort oder du richtest mehrere ein.
Ansonsten kannst du den genannten Code aus der .htaccess auch entfernen, der Cracker Tracker (sofern immer die aktuellste Version installiert ist) schützt ausreichend.

Und für mehr Sicherheit schau hier rein: http://www.oxpus.de/viewtopic.php?t=2888
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Giga4000
Beiträge: 181
Registriert: Sa 26.Nov, 2005 09:19
Wohnort: Hamburg
Kontaktdaten:

Beitrag von Giga4000 »

Naja ... ich lasse die .htaccess drin ... doppelt hält besser :D :D

Zu meiner ersten Frage: Wie bekomme ich denn jetzt noch .htaccess und .htpasswd dazu ???
Benutzeravatar
Scotty
Beiträge: 200
Registriert: Di 12.Jul, 2005 20:19
Wohnort: Neuruppin
Kontaktdaten:

Beitrag von Scotty »

[quote="Giga4000 - Sa 26.Nov, 2005 14:37";p="49135"]Zu meiner ersten Frage: Wie bekomme ich denn jetzt noch .htaccess und .htpasswd dazu ???[/quote]
Die Dateien kannst du selber erstellen:

.htaccess

Code: Alles auswählen

AuthType Basic
AuthName "Dein Forum - Administration"
AuthUserFile  /hier muss dein direkter Pfad rein (keine url)/.htpasswd
require valid-user
.htpasswd

Code: Alles auswählen

Scotty:hierkommtdeinpasswortrein
Zum generieren des Passwortes gibt es im web genug Scripte, hier das von mir:
crypt.php

Code: Alles auswählen

<html>
<head>
<title>www.e-hahn.de / Crypt</title>
</head>

<br>

Bitte das Passwort angeben:
<FORM ACTION="<?php echo $PHP_SELF ?>" METHOD=post>
<INPUT type=text name=klartext maxlength=12>
<INPUT type=submit value=Go>
</FORM>
<?php
if (IsSet ($klartext)):
$salt=21;
    echo "Der Crypt lautet:".crypt($klartext,$salt);
endif;
?>

</body></html>
Scotty's Stubentiger-Forum - Miau
Scotty's .NET Projekte: StarTrek Infos 10.01, e-hahn Updater 3.01, Easy Desktop Note 1.04
Benutzeravatar
Giga4000
Beiträge: 181
Registriert: Sa 26.Nov, 2005 09:19
Wohnort: Hamburg
Kontaktdaten:

Beitrag von Giga4000 »

Nein, dass meine ich nicht.

Code: Alles auswählen

<Files config.php>
Deny from all
</Files>
... bedeutet ja, dass man auf die config.php nicht zugreifen kann ... Jetzt möchte ich aber noch, dass man nicht auf die .htaccess und .htpasswd zugreifen kann.

Sieht dass dann vielleicht so aus ???

Code: Alles auswählen

<Files config.php .htaccess .htpasswd >
Deny from all
</Files>
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Nein, bloss nicht!
Diese Dateien werden bereits vom Webserver geschützt!
Wenn du den Zugriff darauf sperrst, kannst du im schlimmsten Fall des Webserver anhalten!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Giga4000
Beiträge: 181
Registriert: Sa 26.Nov, 2005 09:19
Wohnort: Hamburg
Kontaktdaten:

Beitrag von Giga4000 »

Okay ... dann lasse ich es lieber :D :D
Antworten