Seite 1 von 1
2 Fragen
Verfasst: Sa 26.Nov, 2005 09:29
von Giga4000
Hi,
Erste Frage: Ich habe in meiner .htaccess folgendes stehen:
Nun würde ich aber gerne noch die Dateien
.htaccess und
.htpasswd hinzufügen ... wie bekomme ich das hin
?
Zweite Frage:
Für die Sicherheit von meinem phpBB habe ich den CrackerTracker und diese .htaccess, allerdings mit noch dieser Erweiterung:
Code: Alles auswählen
RewriteEngine On
# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*).system(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd=
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent Perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Außerdem schütze ich einige Ordner noch mit einem PW !!!
Die phpBB Version ist 2.0.18 ... gibt es sonst noch irgendetwas, was ich für die Sicherheit machen kann
?
Verfasst: Sa 26.Nov, 2005 11:45
von oxpus
Um Verzichnisse mit einem Passwort zu schützen, verwende deinen FTP-Client oder die Webspace/Server-Verwaltung deines Providers. Beide können sowas erstellen.
Für das Forum selber macht es aber weniger Sinn, es sei denn, alle deine User kennen dann das Passwort oder du richtest mehrere ein.
Ansonsten kannst du den genannten Code aus der .htaccess auch entfernen, der Cracker Tracker (sofern immer die aktuellste Version installiert ist) schützt ausreichend.
Und für mehr Sicherheit schau hier rein:
http://www.oxpus.de/viewtopic.php?t=2888
Verfasst: Sa 26.Nov, 2005 14:37
von Giga4000
Naja ... ich lasse die .htaccess drin ... doppelt hält besser
Zu meiner ersten Frage: Wie bekomme ich denn jetzt noch .htaccess und .htpasswd dazu
?
Verfasst: So 27.Nov, 2005 23:54
von Scotty
[quote="Giga4000 - Sa 26.Nov, 2005 14:37";p="49135"]Zu meiner ersten Frage: Wie bekomme ich denn jetzt noch .htaccess und .htpasswd dazu
?[/quote]
Die Dateien kannst du selber erstellen:
.htaccess
Code: Alles auswählen
AuthType Basic
AuthName "Dein Forum - Administration"
AuthUserFile /hier muss dein direkter Pfad rein (keine url)/.htpasswd
require valid-user
.htpasswd
Zum generieren des Passwortes gibt es im web genug Scripte, hier das von mir:
crypt.php
Code: Alles auswählen
<html>
<head>
<title>www.e-hahn.de / Crypt</title>
</head>
<br>
Bitte das Passwort angeben:
<FORM ACTION="<?php echo $PHP_SELF ?>" METHOD=post>
<INPUT type=text name=klartext maxlength=12>
<INPUT type=submit value=Go>
</FORM>
<?php
if (IsSet ($klartext)):
$salt=21;
echo "Der Crypt lautet:".crypt($klartext,$salt);
endif;
?>
</body></html>
Verfasst: Mo 28.Nov, 2005 14:08
von Giga4000
Nein, dass meine ich nicht.
... bedeutet ja, dass man auf die config.php nicht zugreifen kann ... Jetzt möchte ich aber noch, dass man nicht auf die .htaccess und .htpasswd zugreifen kann.
Sieht dass dann vielleicht so aus
?
Code: Alles auswählen
<Files config.php .htaccess .htpasswd >
Deny from all
</Files>
Verfasst: Mo 28.Nov, 2005 17:17
von oxpus
Nein, bloss nicht!
Diese Dateien werden bereits vom Webserver geschützt!
Wenn du den Zugriff darauf sperrst, kannst du im schlimmsten Fall des Webserver anhalten!
Verfasst: Mo 28.Nov, 2005 19:57
von Giga4000
Okay ... dann lasse ich es lieber