Jump to content
  • 0

Защита сайта


blacks
 Share

Question

Привет.

Пожалуйста оцените / дополните некоторые пункты для защиты сайта:

Защита папок в которые грузятся аватарки, фотки и проч

- .htaccess кидается в закрываемую папку

# ЗАПРЕТ ЛИСТИНГА ВСЕХ ПАПОК И ПОД-ПАПОК
Options -Indexes

# ЗАПРЕТ ДОСТУПА К ФАЙЛАМ
Order Deny, Allow
Deny from all

# ЗАПРЕТ НА ЗАПУСК ФАЙЛА
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

Защита файла который отвечает за вход в админку CMS

1. входим на страницу admin/admin.php

2. - запрашивается пароль из .htpasswd

3. вводим пароль и логин

4. потом пароль в форме на странице admin/admin.php

- .htaccess в корне сайта

- в папке admin/ нет файла index

# ЗАПРЕТ ЛИСТИНГА ВСЕХ ПАПОК И ПОД-ПАПОК
Options -Indexes

# НАЗВАНИЕ ТОГО ЧЕГО ЗАЩИЩАЕМ
AuthName “not hack”

# АДРЕС ФАЙЛА С ПАРОЛЕМ
AuthUserFile AuthUserFile home/.htpasswd

# МЕТОД ШИФРОВАНИЯ ПАРОЛЯ
AuthType Basic

# ЧТО ДЛЯ КОГО
<Files “admin/admin.php”>
Require valid-user
</Files>

Защита папок с файлами конфигурации CMS

- .htaccess в корне сайта

# ЗАПРЕТ ЛИСТИНГА ВСЕХ ПАПОК И ПОД-ПАПОК
Options -Indexes

# ЗАПРЕТ ДОСТУПА К ФАЙЛАМ
Order Deny, Allow
Deny from all

Возникшие вопросы:

1.

В первом примере я не переборщил с облием запрещаемых расширений?

2.

Стоит ли закрывать admin/admin.php паролем из .htpasswd ?

- будет ли система CMS'ки нормально фунционировать?

3.

Закрывать/запрещать или нет запуск файлов php и проч (RemoveHandler,

AddType application/x-httpd-php-source) в директории с файлами

конфигурации CMS'ки?

- правда сами файлы имеют расширение .php :)

- просто непонятно зачем в инстркции к CMS на папку с конфигами нуно ставить CHMOD 777

4.

Стоит ли в коневом .htaccess писать такое?

# ЧТОБ ПОЛЬЗОВАТЕЛИ НЕ МОГЛИ ПРОЧИТАТЬ ФАЙЛ С ПАРОЛЯМИ
##############################################
<Files .htpasswd>
deny from all
</Files>

5.

Если мне нужно запретить доступ и запуск файлов в нескольких директориях сайта

но мне не хочется в кажду директорию кидать по .htaccess как мне в корневом .htaccess

выставить данные права?

Допустим есть папки:

site.ru/avatar/

site.ru/user-photo/

site.ru/templates/

в корневом .htaccess такое писать?

<Files site.ru/avatar/* "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\ .shtml">
Order allow,deny
Deny from all
</Files>

- и так для каждой папки!?

- или можно попроще сделать?

Спасибо.

Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0
# ЧТОБ ПОЛЬЗОВАТЕЛИ НЕ МОГЛИ ПРОЧИТАТЬ ФАЙЛ С ПАРОЛЯМИ

Чтобы пользователи не могли его прочесть , его надо класть вне директории веба, например на уровень выше.

1. входим на страницу admin/admin.php

2. - запрашивается пароль из .htpasswd

3. вводим пароль и логин

4. потом пароль в форме на странице admin/admin.php

А давайте ещё раз 5 запаролим разными паролями ? тогда уж наверняка а может и сами не войдём.

РНР нормально может обрабатывать аутенификацию сервера, ненадо городить

Не пишите ничего лишнего, лучше добовлять по мере надобности, всё сразу не опишешь

Link to comment
Share on other sites

  • 0
Чтобы пользователи не могли его прочесть , его надо класть вне директории веба, например на уровень выше.

Согласен. Но я пока в этом не спец - переписать движок/настройки движка чтоб файлы брались с корня хостинга(виртуального)... наверно нужно только что-то в конфиги ЦМСки менять да?

А давайте ещё раз 5 запаролим разными паролями ? тогда уж наверняка а может и сами не войдём.

РНР нормально может обрабатывать аутенификацию сервера, ненадо городить

Понял :)

Не пишите ничего лишнего, лучше добовлять по мере надобности, всё сразу не опишешь

- надобность пришла - ингкуды в страницы посыпались.

Сохрание паролей, антивирусы, файрволы, сфтп, виртальные машины - все сделал... теперь

интересуюсь "папочками" и правами на них

Link to comment
Share on other sites

  • 0
http://absolvo.ru/.htaccess - скачай файлик.

Попробовал "сохранить обьект как" - правой кнопкой в браузере

Получился файл с частью кода:

<h1>Forbidden</h1>
You don't have permission to access /.htaccess on this server.

Файл для закрытия директрий для аттач файлов (аватарки, фото

пользователей и проч) сегодня стал немного побольше

- добавил пару "функций"

Но есть сомнения что в чем-то переборщил / где-то продублировали и могут быть пересечения.

Подскажите пожалуйста что не так (если такое есть)

# запрет листинга всех папок и под-папок
Options -Indexes

# Всё просто. Во все каталоги, доступные для записи,
# закачиваем (или добавляем строчки к существующему)
#.htaccess с содержимым:
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

# Отключаем PHP.
RemoveType php

<IfModule mod_php4.c>
php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
php_flag engine 0
</IfModule>

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
Order Deny, Allow
Deny from all

Link to comment
Share on other sites

  • 0
Попробовал "сохранить обьект как" - правой кнопкой в браузере

Получился файл с частью кода:

ну Дима не тебе это писал, а в ответ на:

Чтобы пользователи не могли его прочесть , его надо класть вне директории веба, например на уровень выше.

показал одной ссылкой правило апача - файлы с названием .ht считаются скрытыми и к ним доступа просто так не дает сам сервер, потому не надо плодить лишних сущностей (с)Оккама

Link to comment
Share on other sites

  • 0

+ поврторюсь с вопросом:

что в нижеприведенных директивах лишнее/является дублем который можно удалить

(списки расширений php .cgi .pl .fcgi .fpl .phtml могут отличатся)

# запрет листинга всех папок и под-папок
Options -Indexes


php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

# Отключаем PHP.
RemoveType php

<IfModule mod_php4.c>
php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
php_flag engine 0
</IfModule>

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
Order Deny, Allow
Deny from all

Edited by blacks
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy