PDA

Zobacz pełną wersję : Krótki przewodnik bezpieczeństwa dla użytkowników hostingu dzierżawionego



crazyluki
23-04-2008, 03:08
Krótki przewodnik bezpieczeństwa dla użytkowników hostingu dzierżawionego
- Upewnij się że wszystkie komponenty, moduły, pluginy są w najnowszych wersjach. Często nowsze wersje oprogramowania zawierają łatki bezpieczeństwa, dzięki którym Twoja strona jest w mniejszym stopniu narażona na ataki;

- Ustaw trudne do odgadnięcia hasła do konta cPanel, MySQL, FTP, poczty oraz do konta Administratora na Twojej stronie. Nigdy nie używaj jednego hasła w wielu miejscach. Dla przykładu cPanel nie powinien mieć takiego samego hasła jak MySQL oraz ftp. Istotne jest by hasła których używasz do logowania nie były możliwe do znalezienia w żadnym z plików znajdujących się na serwerze;

- Unikaj ustawiania praw dostępu do plików (chmod) na katalogi powyżej 755. Jeśli jakaś z aplikacji potrzebuje takich uprawnień, postaraj się by umieścić jej katalog poza głównym katalogiem plików na serwerze (public_html). Istnieje także prostsza alternatywa – zabezpieczenie katalogu plikiem .htaccess – wystarczy stworzyć taki plik i umieścić w pliku .htaccess komendę „deny from all" by zablokować publiczny dostęp do tego katalogu.

- Używaj regularnie programu antywirusowego na swoim komputerze. Twój komputer także jest zagrożeniem dla bezpieczeństwa Twojej strony – niektóre wirusy mogą podglądać jakie hasła wpisujesz logując się na różne strony;
- Używaj bezpiecznego połączenia w momencie gdy logujesz się do konta cPanel (https://twojadomena.pl:2083 (https://twojadomena.pl:2083/)). Gdy posiadasz inny panel administracyjny, sprawdź, czy jest możliwość korzystania z bezpiecznego połączenia ( łatwo je rozpoznać – zawiera literkę s po http, oraz w większości nowych przeglądarek pojawia się kłódeczka w widocznym miejscu), w przypadku braku takiej możliwości – skontaktuj się z administratorem hostingu, by wprowadził taką użyteczność;

- Skonfiguruj Twoją stronę, by korzystała z dobrodziejstw najnowszego PHP 5.2 poprzez dodanie do pliku .htacces następującej lini:

AddHandler application/x-httpd-php52 .php .php3 .php4 .php5 .phtml

PHP 5.2 posiada wzbogaconą, ulepszoną obsługę skryptów wykonywanych zdalnie, w związku z czym rozwiązuje to wiele problemów związanych z bezpieczeństwem Twojej strony;

- Popraw lokalne ustawienia PHP by zwiększyć bezpieczeństwo. Może to zostać zrobione poprzez wyłączenie zbędnych funkcji i opcji. Poniżej zalecamy kilka zalecanych ustawień:
allow_url_fopen=off
disable_functions = proc_open , popen, disk_free_space, set_time_limit, leak, tmpfile, exec, system, shell_exec, passthru


Poniższe wskazówki mogą spowodować błędne funkcjonowanie Twojej strony – w takim przypadku spróbuj metodą prób i błędów zastosować choć część z nich. Ustawienia te powinny być wklejone do pliku php.ini w każdym folderze, w którym chcemy je zastosować.

-Jeśli nie używasz żadnych skryptów napisanych w Perlu, wyłącz ich wykonywanie na stronie. W Twoim katalogu domowym stwórz plik .htaccess zawierający następującą treść:
##Blokuje dostęp plikom do skryptów CGI, Perl, Python i plików tekstowych
<FilesMatch "\.(cgi|pl|py|txt)">
Deny from all
</FilesMatch>
##Jeśli używasz plików robots.txt dopisz te 3 linie do pliku .htacces
##by umożliwić poprawną pracę temu plikowi
<FilesMatch robots.txt>
Allow from all
</FilesMatch>
Powyższe ustawienia zapobiegną wykonywaniu skryptów napisanych w Perl, CGI oraz w Pythonie. Wiele z exploitów/koni trojańskich jest napisanych w Perlu, a powyższy skrypt uniemożliwi im działanie na Twojej stronie. Komenda umieszczona w głównym katalogu strony będzie obowiązywać również w podkatalogach..

- Filtruj potencjalne zagrożenia za pomocą Apache Mod Security. Mod Security jest systemowym firewallem, który działa na poziomie Apacha
Mod Security może być w łatwy sposób uruchomiony poprzez określenie zasad w pliku .htaccess. Tutaj są przykłady (http://www.gotroot.com/downloads/ftp/mod_security/apache1/apache1-gotrootrules-latest.tar.gz), które możesz użyć na swojej stronie.


WAŻNE: Po tym, gdy Twoje konto zostało zaatakowane, istnieje wielkie prawdopodobieństwo że intruz zostawił sobie wejście do Twojej strony, by znów w łatwy sposób się na nią włamać. Dlatego samo nadpisywanie i poprawianie plików może być nieskuteczne. Znalezienie tylnego wejścia, które pozostawił sobie cracker jest bardzo czasochłonne i wymaga sporej wiedzy, za którą profesjonaliści każą sobie słono płacić. Dlatego często młodzi, niedoświadczeni administratorzy stron wolą zacząć przygodę ze stroną od nowa.






Od autora : Wolne tłumaczenie artykułu dostępnego na stronie http://kb.siteground.com/article/Basic_security_guidelines_for_the_shared_hosting_s erver.html
Tłumaczenie: Łukasz Bielawski aka crazyluki

kurtz
23-04-2008, 09:43
yeah! good work dude :P

tylko wiesz, tu większość dzierżawi też subdomeny ;)

crazyluki
23-04-2008, 10:54
moje pierwsze tłumaczenie:) artykuł został dodany także do faq na pomoc.joomla.pl, więc od teraz z z dziesięciokrotnie większą siłą będę posyłał ludzi pod ten adres:)

james.bien
05-10-2008, 11:20
Dzięki za artykuł. Wiele mi podpowiedział. Z racji tego, że chcę opublikowac w sieci mój serwisik i jako żem zielony w wielu sprawach proszę szanownych Kolegów o odpowiedzi:
1. Po instalacji Joomli powstaje plik .htaccess z jakimiś tam wpisami. Czy mam te wpisy usunąć, a umieszczać te, które Koledzy w wielu wątkach tu proponujecie.
2. Czy jest możliwość otrzymania od Was jakiś plików .htaccess, żeby obejrzeć od wewnątrz fachowo przygotowane zabezpieczenia?
3. Gdzieś czytałem o pliku, który nazywał się jakoś .htpasword (to nie było tak, jak napisałem, ale nie pamiętam). Jak go założyć i co w nim wpisać?

Dzięki za życzliwe uwagi i wskazówki
JB

zwiastun
05-10-2008, 11:34
http://www.pomoc.joomla.pl/content/view/441/51/