[מדריך] הגברת האבטחה בפאנל הניהול

מדריכים שונים ומגוונים לגרסה phpBB2. שימו לב - פורום זה הינו פורום ארכיון. התמיכה במערכת phpBB2 הופסקה.
X-Viper
משתמש חדש
משתמש חדש
הודעות: 43
הצטרף: 18/04/2005 ב-16:54:17

[מדריך] הגברת האבטחה בפאנל הניהול

הודעה שלא נקראהעל ידי X-Viper » 27/04/2005 ב-11:17:48

בס"ד

הגברת האבטחה בפאנל הניהול

מדריך זה שימושי אך ורק לבעלי חשבונות אכסון על שרת פרטי המנוהל ע"י cPanel X או Direct Admin .

בפאנלים אלו יש אפשרות חסימת תיקיות עם סיסמא אשר תוצפן בתוך קבצי השרת.
מה שאחנו עושים בעצם זה הדבר הבא:
נכנסים לפאנל הניהול, יש פונקציה אשר קוראים לה:
Password Protect Directories

זו בעצם פונקציה שחוסמת תיקיות בסיסמא.
מה שאתם עושים זה נכנסים למודל הזה ונגשים לתיקיה phpBB/Admin
כשאר תלחצו לשם תראו שלחיצה על הסמל הקטן בצורת תיקיה זה יכניס אותכם בעצם לתוך התיקיה, ולחיצה על שם התיקיה זה יכניס אותכם להגדרות התיקיה.
אז תלחצו על הסמלים של התיקיות עד שתגיעו לכך שתראו את רשימת התיקיות שנמצאת בתיקיה phpBB או שם אחר לאלו ששינו את השם.
לבעלי Cpanel: לחצו על התיקיה admin (לא על הסמל אלא על השם)
לבעלי Direct Admin: לחצו על protect שנמצא באותה שורה של התיקיה admin
וזה יכניס אותכם להגדרות.
שאתם בהגדרות למטה יש אפשרות ליצור יוזר עם סיסמא, תיצרו יוזר משלכם עם סיסמא.
לאחר שיצרתם חזרתם לאותו דף עם היוזר מוכן, לאחר מכן יש למעלה אפשרות שקוראים לה
Directory requires a password to access via the web (you must check this to activate password protection).
סמנו אפשרות זאת בוי. מתחת לאפשרות זו יש לכן אדיט בוקס שניתן להכניס שם לחלון בקשת סיסמא שיפתח(לא חייבים למלא אפשרות זו), ולאחר מכן לחצו Save.
מה שקורה התיקיה נחסמה.
תראו שכאשר תכנסו לניק שלכם ותרצו להיכנס ללוח בקרה תתקלו בסיסמאת שרת.
עכשיו שלא תחשבו שזה עכשיו כאב ראש, לא תצטרכו להכניס אותה לכל קובץ שתרצו לגשת אליו בתוך התיקיה. אלא זה עובד על עוגיה נוספת שתרד לכם במחשב. ברגע שתקישו סיסמא זה ישמר לכם במחשב וזה ימחק אך ורק לאחר יציאה מהדפדפן.
מה שעוד טוב בזה שלמשל תוכלו לקבוע עוד מנהל על ולשים סיסמאות לקבצים שאתם לא רוצים שהוא יגש אליהם, וכל פעם שהוא ירצה להיכנס לקובץ הוא יהיה חייב להקיש סיסמא שונה, כי תוכלו להוסיף כמה סיסמאות שונות לאיזה מקומות שתרצו.

מזה בעצם נותן?
היום כל הפריצות לחורי אבטחה בנוים מהאקספלויטים או מהיתעסקות עם עוגיות.
כל האקספלויטים שקימים עד היום ב phpBB מובנים ע"י הזרקת שאליתא התחלתית של גיבוי המסד נתונים למחשב על מנת שיכלו לגשת יותר בקלות למסד נתונים, ולאחר מכן הם מזיריקם שאליתא לקבצים אחרים ואז הם מקבלים גישה. אבל תמיד תהיה הזרקת שאילתא לאחד הקבצים שנמצאים בתיקיה admin, ולכן הם יתקלו בבעיה והאקספלויט לא יעבוד.

בנוגע לעגויות זה גם לא יעבוד כי השיטות לפרוץ עם עוגיות הופכות אותו למשתמש עם ID 1 שהוא בעצם מנהל על, אבל שהוא ינסה לנהל את הלוח בקרה הוא לא יכול והדבר היחיד שהוא יוכל לעשות זה למחוק פה ושם הודעות מהפורמים שזה כבר גישת MOD, אבל זה עדיף מאשר יהיה לו ניהול כללי על הפורום.

מי שרוצה לראות את זה עובד מוזמן:
http://viper.freenukehosting.com/phpBB
שם משתמש של מנהל על: X-Viper
סיסמא: demo
מי שיצליח להיכנס ללוח בקרה, ברוך יהיה :P

הערות
אני לא מכיר מודים שזה עשוי להוות להם בעיה של תפעול אבל מה שכן, מי שבנה איזה פורטל או איזה מוד מוסים שמושך מידע מתוך הקבצים שנמצאים בתיקיה admin צריך לדעת שזה יגרום לו לבקשת סיסמא גם...
ככה שזה לא מומלץ למי שעשה כך...
מה שכן מי שיש לו מוד מנהל זותר ידע שגם המנהל זותר שיכנס לניהול יצטרך סיסמא מכן שהקבצים של המוד הזה נמצאים בתוך admin זה דוגמא...
אז למקרה זה או שאומרים לו מה היוזר והסיסמא ובמידה ולא רוצים שהוא יודע את זה אז יוצרים לו עוד יוזר שהיוזר הזה תהיה לו גישה אך ורק לקבצים אלו.
תמונה

סמל אישי של המשתמש
Slash
חבר צוות phpBB ישראל לשעבר
חבר צוות phpBB ישראל לשעבר
הודעות: 2913
הצטרף: 14/11/2004 ב-22:14:29
מיקום: Abbey Road
יצירת קשר:

הודעה שלא נקראהעל ידי Slash » 27/04/2005 ב-19:08:13

כתבתי מדריך על זה פעם ... לא מוצא אותו.
ואני גם ממליץ לכם לאבטח ככה את הפורום זאת הדרך היחידה שהפורום שלכם יהיה מוגן נגד פירצות במערכת עוד לפני שבכלל גילו אותם .

אבל רק שתדעו שהדבר הזה לא מונע עדכון של הפורום לגירסה האחרונה כי זה רק מגן על הפאנל ניהול וכפי שרבים יודעים יש אפשרות לשחק עם הפורום גם בלי הפאנל ניהול .
Feelife,Itzik.
ואז הגיע גילי מוסינזון הכושל" [נבאחו: "הוא לא כושל!"], "כושל בן כושל!"


חזור אל “מדריכים - ארכיון”

מי מחובר

משתמשים הגולשים בפורום זה: אין משתמשים רשומים ו־ 2 אורחים

cron