Strona 2 z 3 PierwszyPierwszy 123 OstatniOstatni
Wyniki 11 do 20 z 28

Temat: Jak się zabezpieczyć

  1. #11
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    26 777
    Punkty
    1093

    Domyślny

    Możesz się włączyć!
    Skopiuj do swego postu fragment, a pod nim umieść tłumaczenie!

  2. Pani Reklamowa
    Pani Reklamowa jest aktywna
    Avatar Panny Google

    Dołączył
    19-08-2010
    Skąd
    Internet
    Postów
    milion
    Pochwał
    setki
  3. #12
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    26 777
    Punkty
    1093

    Domyślny

    1. Zanim zaczniesz.
    Nic za darmo!
    Chociaż instalacja Joomla! jest łatwa, to juz utrzymanie i zabezpieczanie swojego portalu w internecie – takim już nie jest. Dobry poziom bezpieczeństwa to stale zmieniające się wyzwania, które wymagają ciągłej uwagi. Aby skutecznie zabezpieczyć swoją stronę musisz albo zdobyć doświadczenie na własnych błędach (czasem bardzo gorzkich), albo skorzystać z doświadczenia innych osób. Fora internetowe dotyczące spraw bezpieczeństwa wypełnione są postami o treści „Pomocy! Zostałem zaatakowany” pisanych przez ludzi, którzy NIE ZADALI sobie trudu, żeby zapoznać się z podstawowymi zasadami bezpieczeństwa. Poniższa lista ma na celu zaprezentowanie tych zasad i wskazanie szukającym właściwego kierunku:

    2. Zaczynamy
    Sprawdź czy potrafisz
    Czy naprawdę chcesz i potrafisz administrować dynamiczną, opartą o bazy danych oraz indywidualne konta użytkowników interaktywną stroną? Czy posiadasz odpowiednią ilość wolnego czasu oraz możliwości reagowania na wiele poważnych problemów bezpieczeństwa, jakie napotkasz w Internecie?
    Oto żartobliwa (a może i tragiczna) lista najczęściej spotykanych błędów bepieczeństwa popełnianych przez administratorów. Nie sprawdzaj tego na własnej skórze.

    Tłumaczenie polskie: 10 Najgłupszych Błędów Administratora Joomli

    Przekonaj się czy Joomla spełnia Twoje potrzeby
    Developerzy dużych projektów mogą skorzystać : z tego forum

    Bądź na bieżąco z problematyką bezpieczeństwa
    Zapisz się do
    Listy dyskusyjnej nt. Bezpieczeństwa Jommla
    Wybierz Przycisk „Powiadom/Notify”

    Sprawdzaj FAQs
    Najważniejsze i najbardziej pomocne tematy z Forum Bezpieczeństwa Joomli (tak jak i inne źródła) zostalo teraz przekonwertowane na Security FAQs na oficjanej stronie Joomla!


    Ucz się od najlepszych
    Szperaj w Forum Dyskusyjnym Joomla! Znajdziesz tam wiele prawdziwych złotych porad, np.
    ten post (autorstwa CirTap’a)

    3. Wybierz odpowiedniego dostawcę usług internetowych
    Wybór providera to jedna z najpoważniejszych decyzji, przed jaką staniesz.
    Z powodu szerokiego wachlarza dostępnych parametrów hostingu nie jest możliwe przygotowanie pełnej listy na każdą sytuację.

    Jeśli musisz liczyć się z pieniędzmi – możesz po prostu wynajać miejsce na jednym z serwerów z niższej półki (albo darmowych – przyp. tłum), jednak musisz liczyć się z ryzykiem i wiedzieć, jak wybrać możliwie najbezpieczniejszego dostawcę usług internetowych.
    [dyskusja na ten temat]

    Sprawdź też naszą liste polecanych dostawców.

    Dla pelniejszego zrozumienia problemu wyboru odpowiedniego serwera (i providera) polecamy przeczytać ten raport z około 11.000 stron, które pozwoliły Google na rozpoznanie typu systmu operacyjnego, serwera i innych waznych informacji – wykorzystując funkcję phpinfo()

    4. Budowanie witryny


    Używaj Zintegrowanego Środowiska – Integrated Development Environment (IDE) [FAQ]

    Testuj wszystkie poprawki i łatki (patche) NAJPIERW na lokalnym serwerze /serwerze testowym [FAQ]

    Upewnij się, że będziesz mógł wrócić do poprzedniej wersji swojego serwisu, korzystając z systemów kontroli wersji, takich jak CVS czy Subversion

    Sprawdź Listę Spoleczności Joomla! - popularnych programów i narzędzi developerskich.


    5 Instalacja. Uaktualnienie i konfiguracja silnika Joomla! i serwera Apache

    Zawsze instaluj uaktualnioną najnowszą stabilną wersję Joomla!

    Zawsze ściągaj Joomla! tylko z oficjalnych serwisów takich jak Joomla! Forge, sprawdzaj też sumy kontrolne MD5

    Zawsze usuwaj zbędne/pozostawione pliki. W trakcie procesu instalacji instalator zażąda od Ciebie usunięcia katalogu instalacyjnego oraz całej jego zawartości. Zrób to! Jeśli wgrywałeś na serwer Joomla! jako skompresowane archiwum (np. xxxx.zip), nie zapomnij usunąć po instalacji oryginalnego pliku archiwum Ogólnie – nie pozostawiaj na serwerze żadnych zbędnych plików, skompresowanych czy nie – dopóki Twój Portal nie będzie ich potrzebować do funkcjonowania.

  4. #13
    Przeglądacz
    Dołączył
    26-04-2007
    Wpisy
    56
    Punkty
    -6

    Domyślny

    Dlaczego 2 razy to samo?
    Z tych tekstow wynika duzo a zarazem nic każdy chyba wie ze katalog "instal" sie usuwa chciaż znam jeden cms ktory potrafi sam usunac zbedne pliki po pomyslnie zakonczonej instalacji.Moim skromnym zdaniem powinien byc jakis temat z linkami do poprawek i opisami tego typu ktore pliki nadpisywac- ktore komponenty koniecznie trzeba wymienic ;)

  5. #14
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    26 777
    Punkty
    1093

    Domyślny

    Gdybyś popatrzył dokładniej, to nie zadawałbyś niepotrzebnych pytań.
    Dobrze, że jestes tak obeznany, i jak każdy wiesz, że trzeba usunąć katalog instalacyjny. Inni jednak dobrze wiedzą, że nie wszyscy to wiedzą.

  6. #15
    Przeglądacz
    Dołączył
    26-04-2007
    Wpisy
    56
    Punkty
    -6

    Domyślny

    Nie uważam sie za obeznanego i takowy nie jestem tylko chodzi mi o to ze oczywiste sprawy w kółko wałkujecie.Lepiej by było jak by ktos z was opisał konkretne przykłady aktualizacji joomla z wersji xxx do wersji yyy konkretne przykłady optymalizacji każdy by wiedział na czym stoi bo narazie to nic z tego nie wynika.

  7. #16
    Przeglądacz
    Dołączył
    08-06-2007
    Skąd
    DC
    Wpisy
    50
    Punkty
    20

    Domyślny

    Alez... my tylko (a przyn. ja) - tlumaczac ten pierwszy fragment oficjalnego FAQ postapilem dokladnie w mysl autorow tekstu oryginalnego tlumaczacgo krok po kroku

    W najblizszym czasie pozostala (mam na dzieje ze bardziej tresciwa) czesc w.w. FAQ

    Pozdrawiam
    P.S. dziekuje za zamieszczenie mojego tekstu i wszelkie uwagi.
    Tylko jeden problem jaki widze to bede musial i tak go jeszcze raz przekopiowac, umieszczajac (poprawiajac) niektore linki. Ale to pozniej...
    Ostanio edytowane przez markooff : 10-06-2007 23:49

  8. #17
    Senior zwiastun awatar
    Dołączył
    20-09-2005
    Wpisy
    26 777
    Punkty
    1093

    Domyślny

    Cytat Wysłane przez trytyt Zobacz wiadomość
    tylko chodzi mi o to ze oczywiste sprawy w kółko wałkujecie. Lepiej by było jak by ktos z was opisał konkretne przykłady aktualizacji joomla z wersji xxx do wersji yyy konkretne przykłady optymalizacji każdy by wiedział na czym stoi bo narazie to nic z tego nie wynika.
    Miły jesteś!
    Nie zauważyłem, byś zdązył gdziekolwiek powiedzieć DZIĘKUJĘ, za to, CO OTRZYMAŁEŚ od ludzi upowszechniajacych Joomla! Nie zauważyłam również, byś COKOLWIEK dał od siebie.
    Może więc, następnym razem, zastanów się, co piszesz do ludzi, którzy DAJĄ Ci pełnymi garściami, co tylko są w stanie dać.
    I raczej już nie odpowiadaj na ten post, bo nie ma po co!

  9. #18
    Przeglądacz
    Dołączył
    08-06-2007
    Skąd
    DC
    Wpisy
    50
    Punkty
    20

    Domyślny

    ================KONTYNUACJA PKT 5 =====================


    Zwiększ poziom bezpieczeństwa swojego portalu przez umieszczenie/przeniesienie najważniejszego pliku - configuration.php poza katalog domowy Twojej strony [FAQ] (zwykle chodzi tu o ./public_html w katalogu użytkownika, który jest właścicielem portalu. Uwaga! – problem jest do rozwiazania tylko na serwerach, na których mamy dostep do calego drzewka katalogów użytkownika, a nie tylko samego chrootowanego katalogu public_html . Niestety wiekszość serwisów publicznie dostepnych – przyn. w Polsce - blokuje nam ten dostęp. przyp. tłum)

    Koniecznie zmień nazwę użytkownika dla domyśnego administratora. W ten prost sposób znacząco poprawisz bezpieczeństwo tego krytycznie ważnego konta.[FAQ]

    Zablokuj działanie typowych exploitów używając do tego poprawek w pliku .htaccess [FAQ]

    Zablokuj dostęp do kluczowych katalogów – takich jak administrator – przez wprowadzenie haseł używając do tego plików .htaccess [FAQ]

    Zablokuj dostęp do kluczowych katalogów – jak administrator ze wszsytkich innych adresów IP niż Twój – używając do tego plików .htaccess [FAQ]
    (uwaga tłum. – jest to możliwe, o ile posiadamy stały, zewnętrzny adres IP, z którego się łączymy z naszą witryną. Możliwe jest też (dla bardziej zaawansowanych) ustawienie sobie serwera proxy ze stałym zewnętrznym IP i korzystanie tylko z niego przy łączeniu się z witryną. )

    O ile twój serwer to umożliwia – powinieneś przejść na PHP5 zamiast używać PHP4 [FAQ]

    Stosuj zasadę „Minimalnych Możliwych Uprawnień” do uruchamiania aplikacji używających PHP takich jak PHPsuExec, php_suexec lub suPHP

    Odpowiednio skonfiguruj w serwerze Apache mod_security i mod_rewrite, żeby skutecznie blokować ataki PHP [odpowiednie linki]
    Google Search Example: http://www.google.com/search?q=apache%20mod_security
    Google Search Example: http://www.google.com/search?q=apache%20mod_rewrite
    (Oczywiscie, zmiany te wymagają dostępu do konfiguracji serwera Apache albo porozumienia się z jego administratorem)(przyp.tłum.)

    Upewnij się że konto(a) MySQL mają ograniczony dostęp (są zabezpieczone unikatowym hasłem – które znasz tylko Ty - administrator serwisu – przyp. tłum.)
    Standardowa instalacja MySQL ze wzgledów wygody użytkowania jest skonfiguroana potencjalnie niebezpiecznie. Zalecane jest poczynienie paru zmian.
    Dokumentacja MySQL

    Na chwilę obecną obydwa języki PHP4 i PHP5 są rozwijane. Jednak zanim PHP4 stanie się przestarzały i wyjdzie calkowicie z użycia przepisz cały swój kod PHP do wersji PHP5. Nie obawiaj się Joomla! Cały silnik jest obecnie kompatybilny z PHP5
    PHP News

    Unikaj używania PHP safe_mode [FAQ]
    WYŁĄCZ funkcję Register Globals Emulation – edytując plik globals.php (plik znajduje się w katalogu głównym Twojego portalu). Chociaż funkcja emulacji register_globals w Joomli! jest bezpieczniejsza niż register_globals wykonywana przez PHP znacznie bezpieczniej jest nie włączać register_globals w ogóle. Począwszy od PHP 6 nie będzie juz dostępnej takiej opcji. UWAGA! słabo napisany kod niektórych rozszerzeń do Joomli! może spowodować błędy w przypadku wyłączenia register_globals. Najlepszą radą jest – nie używać tych rozszerzeń!
    Poniżej jest zaprezentowane właściwe ustawienie zmiennej w pliku globals.php

    define( 'RG_EMULATION', 0 );

    Pokrewny temat na forum

    Upewnij się że wszystkie ścieżki do katalogów z uprawnieniami do zapisu (repozytorium dokumentów, galeria zdjęć i grafiki oraz cache) znajdują się poza katalogiem głównym strony. Sprawdź także rozszerzenia pochodzące od innych autorów, takie jak DOCMan czy Gallery2, dokonując niezbędnych poprawek ustawień. Niestety – jak na razie nie ma łatwego sposobu na migrację standardowego katalogu ze zdjęciami w Joomla!

    Post: Skrypt shellowy do zmiany uprawnień plików i katalogów

    Usuń wszystkie projekty szablonów graficznych, których nie potrzebujesz. Nie zadawaj sobie trudu zabezpieczając ich.

    Post: Sugerowana Możliwość właczenia/wyłączenia zmian templatów

    Jeśli używasz VPS albo masz dedykowany serwer uruchom TripWire or SAMHAIN (GNU/GPL). Programy te przygotują wyczerpujący raport na temat bezpieczeństwa plików i funkcjonalności systemu. Oba mogą być zainstalowane dyskretnie w celu ochrony na wypadek ewentualnych prób włamania.

    Poszukaj porady u profesjonalnego konsultanta d/s bezpieczeństwa Joomla!


    ======================KONIEC PKT 5 =====================================
    Ostanio edytowane przez markooff : 11-06-2007 22:19

  10. #19
    Przeglądacz
    Dołączył
    08-06-2007
    Skąd
    DC
    Wpisy
    50
    Punkty
    20

    Domyślny

    Ciąg dalszy :

    7. Configuring php.ini
    7.1: Understand how PHP configurations are controlled by reading the well-documented default php.ini file included with every PHP install.
    Latest default php.ini file

    7.2: Understand how to work with the php.ini file.

    7.3: Study the Official List of php.ini Directives at www.php.net

    7.4: On shared servers you can't edit the main php.ini file, but you may be able to add a custom file. If so, you'll need to copy that file to every sub-directory that requires the custom php.ini settings. Luckily a free set of scripts do the hard work for you:
    B&T's Tips and Scripts

    7.5: Read the following post, by Beat, Q&T Workgroup Member, for a list of php.ini methods sorted in order of preference:
    Secure it with php.ini
    =============================================

    7. Konfigurowanie php.ini

    7.1 Konfiguracja i mechanizmy php.ini sa dobrze udokumentowane w pliku php.ini znajdującym się w każdej instalacji PHP. Najnowszy standardowy php.ini

    7.2 Ważne jest dobre zrozumienie jak posługiwać się i wykorzystywać mechanizmy zawarte w php.ini

    7.3 Poszczególne mechanizmy i funkcje php.ini są opisane i udokumentowane w www.php.net

    7.4 Na wileu publicznych serwerach www nie masz dostępu do edycji głównego pliku php.ini ale za to możesz dodać swój własny plik php.ini (custom file). W takim wypadku musisz skopiować ten plik do każdego podkatalogu, który będzie wymagać sprecyzowanych niestandardowych ustawień php.ini . Na szczęście są dostępne darmowe skrypty które wykonaja za ciebie brudną robotę :
    B&T's Tips and Scripts

    7.5 Przeczytaj post autorstwa Beat, Członka Grupy Q&T, w którym opisana jest lista metod php.ini uporzadkowana pod wzgledem wazności. Zabezpiecz przez php.ini

    7.6 =========== ZROBIONE

    7.7 Używaj funkcji disable_functions żeby wyłączyć użycie potencjalnie niebezpiecznych funkcji PHP, których nie są wymagane bezpośrednio przez Twój portal.

    7.8 Wyłacz allow_url_fopen. Ta funkcja włącza dostęp do plików (wrapper) na dysku lokalnym serwera bezpośrednio przez podanie adresu url. Standardowo wrappery używane są do uzyskiwania dostępu do plików z wykorzystaniem protokołów http i ftp, znajdujących się na zdalnych serwerach. Niektóre rozszerzenia takie jak np. Zlib mogą dodawać swoje własne wrappery. UWAGA ze względów bezpieczeństwa wyłączenie tej funkcji jest możliwe tlko w php.ini

    7.9 =============== ZROBIONE

    7.10 Funkcja open_basedir powinna być włączona i poprawnie skonfigurowana )
    Ogranicz dostęp do plików które mogą być otwierane przez PHP tylko do określonego katalog(ów) (drzewka). Ta funkcja jest NIEZALEŻNA od ustawienia ON lub OFF PHP SafeMode. Nazwa katalogu podawana jako argument w funkcji open_basedir jest traktowana jako prefix a nie dokładna nazwa katalogu. I tak np. "open_basedir /dir/incl" pozwala na dostęp do katalogów "/dir/include" oraz "/dir/incls" o ile takie istnieją. Aby ograniczyć dostęp TYLKO do wybranego katalogu należy zakończyć jego nazwę slashem "/"
    PHP Security and Safe Mode Configuration Directives

    7.11 Przykładowa konfiguracja php.ini w odniesieniu do powyższych uwag sugestii
    Quote
    register_globals = 0
    disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
    allow_url_fopen = 0
    magic_quotes_gpc = 1
    safe_mode = 1
    open_basedir = /dir/to/include/change/me
    Ostanio edytowane przez markooff : 14-06-2007 14:51

  11. #20
    Przeglądacz
    Dołączył
    08-06-2007
    Skąd
    DC
    Wpisy
    50
    Punkty
    20

    Domyślny

    8. Joomla! Hardening for Maximum Security
    8.1: Don't use a shared server. Some experts differ here. The point is, no matter how your server is configured, make sure you and the vendors you trust are the only organizations with access. [FAQ]

    8.2: Use an SSL server for confidential transactions. Read this enlightening discussion on the need for SSL any time security is important. (Note that Joomla! version 1.0.11 does not allow you to assign an SSL server to individual sub-directories. Can someone tell me if 1.0.12 changes this?) [FAQ]

    8.3: For an additional layer of password protection, use .htaccess files in critical directories. [FAQ]

    =================================================
    8. Tuning Joomli! dla maksimum bezpieczeństwa

    8.1 Nie używaj publicznych(/darmowych) serwerów. Niektórzy experci są tutaj innego zdania. Jakkolwiek byś uważał niezależnie od konfiguracji serwera, istotne jest żebyś upewnił się że fizyczny dostęp do Twojego serwisu masz wyłącznie Ty i administrator(zy) serwera. [FAQ]

    8.2 Używaj protokołu SSL w celu zabezpieczenia połączeń z serwerem. Przeczytaj dyskusję na temat potrzeby używania SSL i tych momentów kiedy bezpieczeństwo jest szczególnie istotne. (Joomla! w wersji 1.0.11 nie pozwala na przypisanie serwera SSL do poszczególnych katalogów. Czy ktoś wie czy w 1.0.12 ma się to zmienić ?) [FAQ]

    8.3 Dla dodatkowej ochrony zabezpieczonych hasłem newralgicznych katalogów używaj plików .htaccess [FAQ]


    =======================KONIEC pkt 8=========================

    DO ZROBIENIA ZOSTAL JESZCZE WLASCIWIE TYLKO pkt 9
    Ostanio edytowane przez markooff : 14-06-2007 15:21

Strona 2 z 3 PierwszyPierwszy 123 OstatniOstatni

Reguły pisania

  • Nie możesz zakładać nowych tematów
  • Nie możesz dodawać wypowiedzi
  • Nie możesz dodawać załączników
  • Nie możesz poprawiać swoich postów
  •