Jump to content
  • 0

Защита сайта

blacks

Asked by blacks,

 Share

Question

blacks Explorer

blacks

Posted
Posted

Привет.

Пожалуйста оцените / дополните некоторые пункты для защиты сайта:

Защита папок в которые грузятся аватарки, фотки и проч

- .htaccess кидается в закрываемую папку

# ЗАПРЕТ ЛИСТИНГА ВСЕХ ПАПОК И ПОД-ПАПОК
Options -Indexes

# ЗАПРЕТ ДОСТУПА К ФАЙЛАМ
Order Deny, Allow
Deny from all

# ЗАПРЕТ НА ЗАПУСК ФАЙЛА
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

Защита файла который отвечает за вход в админку CMS

1. входим на страницу admin/admin.php

2. - запрашивается пароль из .htpasswd

3. вводим пароль и логин

4. потом пароль в форме на странице admin/admin.php

- .htaccess в корне сайта

- в папке admin/ нет файла index

# ЗАПРЕТ ЛИСТИНГА ВСЕХ ПАПОК И ПОД-ПАПОК
Options -Indexes

# НАЗВАНИЕ ТОГО ЧЕГО ЗАЩИЩАЕМ
AuthName “not hack”

# АДРЕС ФАЙЛА С ПАРОЛЕМ
AuthUserFile AuthUserFile home/.htpasswd

# МЕТОД ШИФРОВАНИЯ ПАРОЛЯ
AuthType Basic

# ЧТО ДЛЯ КОГО
<Files “admin/admin.php”>
Require valid-user
</Files>

Защита папок с файлами конфигурации CMS

- .htaccess в корне сайта

# ЗАПРЕТ ЛИСТИНГА ВСЕХ ПАПОК И ПОД-ПАПОК
Options -Indexes

# ЗАПРЕТ ДОСТУПА К ФАЙЛАМ
Order Deny, Allow
Deny from all

Возникшие вопросы:

1.

В первом примере я не переборщил с облием запрещаемых расширений?

2.

Стоит ли закрывать admin/admin.php паролем из .htpasswd ?

- будет ли система CMS'ки нормально фунционировать?

3.

Закрывать/запрещать или нет запуск файлов php и проч (RemoveHandler,

AddType application/x-httpd-php-source) в директории с файлами

конфигурации CMS'ки?

- правда сами файлы имеют расширение .php :)

- просто непонятно зачем в инстркции к CMS на папку с конфигами нуно ставить CHMOD 777

4.

Стоит ли в коневом .htaccess писать такое?

# ЧТОБ ПОЛЬЗОВАТЕЛИ НЕ МОГЛИ ПРОЧИТАТЬ ФАЙЛ С ПАРОЛЯМИ
##############################################
<Files .htpasswd>
deny from all
</Files>

5.

Если мне нужно запретить доступ и запуск файлов в нескольких директориях сайта

но мне не хочется в кажду директорию кидать по .htaccess как мне в корневом .htaccess

выставить данные права?

Допустим есть папки:

site.ru/avatar/

site.ru/user-photo/

site.ru/templates/

в корневом .htaccess такое писать?

<Files site.ru/avatar/* "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\ .shtml">
Order allow,deny
Deny from all
</Files>

- и так для каждой папки!?

- или можно попроще сделать?

Спасибо.

Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0
LunatiK Explorer

LunatiK

Posted
Posted
# ЧТОБ ПОЛЬЗОВАТЕЛИ НЕ МОГЛИ ПРОЧИТАТЬ ФАЙЛ С ПАРОЛЯМИ

Чтобы пользователи не могли его прочесть , его надо класть вне директории веба, например на уровень выше.

1. входим на страницу admin/admin.php

2. - запрашивается пароль из .htpasswd

3. вводим пароль и логин

4. потом пароль в форме на странице admin/admin.php

А давайте ещё раз 5 запаролим разными паролями ? тогда уж наверняка а может и сами не войдём.

РНР нормально может обрабатывать аутенификацию сервера, ненадо городить

Не пишите ничего лишнего, лучше добовлять по мере надобности, всё сразу не опишешь

Link to comment
Share on other sites
  • 0
blacks Explorer

blacks

Posted
  • Author
Posted
Чтобы пользователи не могли его прочесть , его надо класть вне директории веба, например на уровень выше.

Согласен. Но я пока в этом не спец - переписать движок/настройки движка чтоб файлы брались с корня хостинга(виртуального)... наверно нужно только что-то в конфиги ЦМСки менять да?

А давайте ещё раз 5 запаролим разными паролями ? тогда уж наверняка а может и сами не войдём.

РНР нормально может обрабатывать аутенификацию сервера, ненадо городить

Понял :)

Не пишите ничего лишнего, лучше добовлять по мере надобности, всё сразу не опишешь

- надобность пришла - ингкуды в страницы посыпались.

Сохрание паролей, антивирусы, файрволы, сфтп, виртальные машины - все сделал... теперь

интересуюсь "папочками" и правами на них

Link to comment
Share on other sites
  • 0
blacks Explorer

blacks

Posted
  • Author
Posted
http://absolvo.ru/.htaccess - скачай файлик.

Попробовал "сохранить обьект как" - правой кнопкой в браузере

Получился файл с частью кода:

<h1>Forbidden</h1>
You don't have permission to access /.htaccess on this server.

Файл для закрытия директрий для аттач файлов (аватарки, фото

пользователей и проч) сегодня стал немного побольше

- добавил пару "функций"

Но есть сомнения что в чем-то переборщил / где-то продублировали и могут быть пересечения.

Подскажите пожалуйста что не так (если такое есть)

# запрет листинга всех папок и под-папок
Options -Indexes

# Всё просто. Во все каталоги, доступные для записи,
# закачиваем (или добавляем строчки к существующему)
#.htaccess с содержимым:
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

# Отключаем PHP.
RemoveType php

<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml 

# запрет доступа к файлам
Order Deny, Allow
Deny from all

Link to comment
Share on other sites
  • 0
D.S.Denton Explorer

D.S.Denton

Posted
Posted
Попробовал "сохранить обьект как" - правой кнопкой в браузере

Получился файл с частью кода:

ну Дима не тебе это писал, а в ответ на:

Чтобы пользователи не могли его прочесть , его надо класть вне директории веба, например на уровень выше.

показал одной ссылкой правило апача - файлы с названием .ht считаются скрытыми и к ним доступа просто так не дает сам сервер, потому не надо плодить лишних сущностей (с)Оккама

Link to comment
Share on other sites
  • 0
blacks Explorer

blacks

Posted
  • Author
Posted (edited)

+ поврторюсь с вопросом:

что в нижеприведенных директивах лишнее/является дублем который можно удалить

(списки расширений php .cgi .pl .fcgi .fpl .phtml могут отличатся)

# запрет листинга всех папок и под-папок
Options -Indexes


php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

# Отключаем PHP.
RemoveType php

<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
Order Deny, Allow
Deny from all

Edited by blacks
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy

  I accept