- Hozzászólások: 27
- Köszönetek: 0
.htaccess - Ki milyet használ élesben?
- Hunnia
-
Témaindító
- Nem elérhető
- Junior Member
-
Kevesebb Több
2014 febr. 14 14:59 #1 Írta: Hunnia
.htaccess - Ki milyet használ élesben? téma létrehozva Hunnia által
Sziasztok!
htaccess témában kiismeri valaki magát? A Joomla hoz magával egyet, amit aktiválni kell. Elég csak átírni .htaccess-re és békén hagyni, vagy érdemes más bejegyzéseket is belevinni? Első fokon nem eldugni az administrator könyvtárat vagy kétlépcsős admin belépést biztosítani általa, hanem levédeni a Joomla honlapot külső támadások ellen.
Olvastam ezekről:
1. The Master .htaccess Version 2.5 (proposed), Nicholas K. Dionysopoulos - Amit ha aktiválok, a honlapom elérhetetlenné válik
2. különféle plusz bejegyzések, párat bemásolok:
##Védelem htaccess buhera ellen
#
<Files .htaccess>
order allow,deny
deny from all
</Files>
#
##Védelem config fájl betámadása ellen
#
<FilesMatch "configuration.php">
Order allow,deny
Deny from all
</FilesMatch>
#
##Védelem különböző fájlbuhera ellenn
#
<FilesMatch "\.(htaccess|htpasswd|ini|phps|log|sh|conf)$">
Order allow,deny
Deny from all
</FilesMatch>
#
##Védelem common global variable injection attacks, cross site scripting (XSS) sttacks, and code injection attacks
#
php_flag register_globals off
php_flag allow_url_fopen off
php_flag magic_quotes_gpc on
#
##Védelem belső állományok linkelése ellen idegen oldalakra
#
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://([^.]+\.)*honlapnév\.info/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule \.(jpe?g|gif|bmp|png|pdf|avi|divx|mp4|mp3|iso|doc|docx)$ - [F]
#
##Átirányítás index.php-re, ha keresést észlel bármire, ami phpMyAdmin-al kezdődik
#
RewriteRule ^/phpMyAdmin.*$ /index.php
Vélemények? Ki milyen módosított verziót használ élő oldalon?
htaccess témában kiismeri valaki magát? A Joomla hoz magával egyet, amit aktiválni kell. Elég csak átírni .htaccess-re és békén hagyni, vagy érdemes más bejegyzéseket is belevinni? Első fokon nem eldugni az administrator könyvtárat vagy kétlépcsős admin belépést biztosítani általa, hanem levédeni a Joomla honlapot külső támadások ellen.
Olvastam ezekről:
1. The Master .htaccess Version 2.5 (proposed), Nicholas K. Dionysopoulos - Amit ha aktiválok, a honlapom elérhetetlenné válik

2. különféle plusz bejegyzések, párat bemásolok:
##Védelem htaccess buhera ellen
#
<Files .htaccess>
order allow,deny
deny from all
</Files>
#
##Védelem config fájl betámadása ellen
#
<FilesMatch "configuration.php">
Order allow,deny
Deny from all
</FilesMatch>
#
##Védelem különböző fájlbuhera ellenn
#
<FilesMatch "\.(htaccess|htpasswd|ini|phps|log|sh|conf)$">
Order allow,deny
Deny from all
</FilesMatch>
#
##Védelem common global variable injection attacks, cross site scripting (XSS) sttacks, and code injection attacks
#
php_flag register_globals off
php_flag allow_url_fopen off
php_flag magic_quotes_gpc on
#
##Védelem belső állományok linkelése ellen idegen oldalakra
#
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://([^.]+\.)*honlapnév\.info/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule \.(jpe?g|gif|bmp|png|pdf|avi|divx|mp4|mp3|iso|doc|docx)$ - [F]
#
##Átirányítás index.php-re, ha keresést észlel bármire, ami phpMyAdmin-al kezdődik
#
RewriteRule ^/phpMyAdmin.*$ /index.php
Vélemények? Ki milyen módosított verziót használ élő oldalon?
Jelentkezz be, hogy te is részt vehess beszélgetésben!
- Balázs
-
- Nem elérhető
- Adminisztrátor
-
2014 febr. 14 15:13 #2 Írta: Balázs
Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).
Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu
Balázs válaszolt a következő témában: .htaccess - Ki milyet használ élesben?
Az alap teljesen elég. Én annyival szoktam még kiegészíteni, hogy www-s kéréseket átirányítom a www nélkülire, hogy a Google ne lássa duplikációnak. A kétlépéses belépés Joomla! 3.x-ben már benne van, mobilos azonosítással. Ami sokat segíthet az-az adminisztrátori felület elérésnek megváltoztatása. Itt jöhet a képbe az
AdminExile
.
Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).
Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu
A következő felhasználók mondtak köszönetet: Isodius
Jelentkezz be, hogy te is részt vehess beszélgetésben!
- Isodius
-
- Nem elérhető
- Senior Member
-
2014 febr. 14 17:23 #3 Írta: Isodius
Isodius válaszolt a következő témában: .htaccess - Ki milyet használ élesben?
Szia Balázs!
Ezt a Google duplikációs dolgot ki tudnád fejteni bővebben, hogy mit is jelent. Én mind www-vel, mind anélkül regisztráltam oldalaimat a webmester eszközöknél. Ez akkor hiba, vagy ez teljesen más dolog?
Válaszodat előre is köszönöm.
Ezt a Google duplikációs dolgot ki tudnád fejteni bővebben, hogy mit is jelent. Én mind www-vel, mind anélkül regisztráltam oldalaimat a webmester eszközöknél. Ez akkor hiba, vagy ez teljesen más dolog?
Válaszodat előre is köszönöm.
Jelentkezz be, hogy te is részt vehess beszélgetésben!
- Balázs
-
- Nem elérhető
- Adminisztrátor
-
2014 febr. 14 18:38 #4 Írta: Balázs
Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).
Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu
Balázs válaszolt a következő témában: .htaccess - Ki milyet használ élesben?
Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).
Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu
A következő felhasználók mondtak köszönetet: Isodius
Jelentkezz be, hogy te is részt vehess beszélgetésben!
- Hunnia
-
Témaindító
- Nem elérhető
- Junior Member
-
Kevesebb Több
- Hozzászólások: 27
- Köszönetek: 0
2014 febr. 15 17:42 #5 Írta: Hunnia
Hunnia válaszolt a következő témában: .htaccess - Ki milyet használ élesben?
Azért közzé teszek egyet, amit egy német nyelvű, J
oomla biztonsággal foglalkozó honlapon közzétettek.
Kiadás: v2.5v1 2012.05.19.
Amit tud:
- Eltitkolja a kiszolgálói ujjlenyomatot
- Nem engedi a könyvtár tartalmának listázását, mait némely kiszolgáló magától kimutat, ha a lekérdezés nem adott fájlra irányult
- Blokkol különféle lekérdezéseket (Requests), melyeket károkozásra használnak
- Blokkol néhány klasszikus eljárást, melyekkel idegen tartalmat (Exploits) lehetne becsempészni a honlapra
- Megtagadja a modulpoziciók lekérdezését URL-en keresztül ("index.php?tp=1")
- Blokkolja a sablonstílus megváltoztatását URL-en keresztül ("index.php?templateStyle=1")
- Blokkolja a PHP verzió lekérdezését PHP-Eastereggs-en keresztül
- Blokkolja az adatbecsempészést
- Blokkolja a közvetlen hozzáférést a beállítási fájlhoz ("configuration.php")
- Blokkolja a közvetlen hozzáférést a .htaccess fájlhoz
- Saját hibajelentés: Az 500-as hibakódon kívül a „404: Site not found!“ jelenik meg azzal a céllal, hogy ez megtévessze a támadót. De mivel a hibaoldal fejlécében még mindig a valós hiba jelenik meg, létre kell hozni saját hibaoldalakat.
- Puffer. A puffer funkció lehetővé teszi az oldal gyorsabb betöltését, ha a látogató bekapcsolta böngészőjében a pufferolást (elvileg alaptelepítéskor ez van) vagy átjárót (proxy) használ. Néhány beállítás kiszolgálói kompatibilitás miatt ki van kapcsolva, de azok kézzel bármikor bekapcsolható.
Letöltés
Kiadás: v2.5v1 2012.05.19.
Amit tud:
- Eltitkolja a kiszolgálói ujjlenyomatot
- Nem engedi a könyvtár tartalmának listázását, mait némely kiszolgáló magától kimutat, ha a lekérdezés nem adott fájlra irányult
- Blokkol különféle lekérdezéseket (Requests), melyeket károkozásra használnak
- Blokkol néhány klasszikus eljárást, melyekkel idegen tartalmat (Exploits) lehetne becsempészni a honlapra
- Megtagadja a modulpoziciók lekérdezését URL-en keresztül ("index.php?tp=1")
- Blokkolja a sablonstílus megváltoztatását URL-en keresztül ("index.php?templateStyle=1")
- Blokkolja a PHP verzió lekérdezését PHP-Eastereggs-en keresztül
- Blokkolja az adatbecsempészést
- Blokkolja a közvetlen hozzáférést a beállítási fájlhoz ("configuration.php")
- Blokkolja a közvetlen hozzáférést a .htaccess fájlhoz
- Saját hibajelentés: Az 500-as hibakódon kívül a „404: Site not found!“ jelenik meg azzal a céllal, hogy ez megtévessze a támadót. De mivel a hibaoldal fejlécében még mindig a valós hiba jelenik meg, létre kell hozni saját hibaoldalakat.
- Puffer. A puffer funkció lehetővé teszi az oldal gyorsabb betöltését, ha a látogató bekapcsolta böngészőjében a pufferolást (elvileg alaptelepítéskor ez van) vagy átjárót (proxy) használ. Néhány beállítás kiszolgálói kompatibilitás miatt ki van kapcsolva, de azok kézzel bármikor bekapcsolható.
Letöltés
Jelentkezz be, hogy te is részt vehess beszélgetésben!
- Hunnia
-
Témaindító
- Nem elérhető
- Junior Member
-
Kevesebb Több
- Hozzászólások: 27
- Köszönetek: 0
2014 febr. 15 20:37 #6 Írta: Hunnia
Hunnia válaszolt a következő témában: .htaccess - Ki milyet használ élesben?
Általános könyvtár jogok: 0755
Általános fáj ljogok: 0644
De némelyik fájlnak kizárólag olvasási jogot adunk:
/index.php
/configuration.php
/administrator/index.php
/templates/sablonodneve/index.php
Mindegyik .htaccess fájl
Mindegyik.css fájl
Ezt vagy ftp programmal végezzük el vagy könnyebben és gyorsabban parancssorban root-ként:
cd /joomla-telepítési-útvonal/ (Ezzel átváltunk a Joomla telepítési könyvtárába, ami gyakran htdocs)
find . -type d -exec chmod 0755 {} \; # (Minden könyvtárnak 0755 jogot osztunk ki)
find . -type f -exec chmod 0644 {} \; # (Minden fájlnak 0644 jogot osztunk ki)
find . -type f -name ".htaccess" -exec chmod 0444 {} \; # (Htaccess fájloknak csak olvasási jogot adunk)
find . -type f -name "*.css" -exec chmod 0444 {} \; # (CSS fájloknak csak olvasási jogot adunk)
Általános fáj ljogok: 0644
De némelyik fájlnak kizárólag olvasási jogot adunk:
/index.php
/configuration.php
/administrator/index.php
/templates/sablonodneve/index.php
Mindegyik .htaccess fájl
Mindegyik.css fájl
Ezt vagy ftp programmal végezzük el vagy könnyebben és gyorsabban parancssorban root-ként:
cd /joomla-telepítési-útvonal/ (Ezzel átváltunk a Joomla telepítési könyvtárába, ami gyakran htdocs)
find . -type d -exec chmod 0755 {} \; # (Minden könyvtárnak 0755 jogot osztunk ki)
find . -type f -exec chmod 0644 {} \; # (Minden fájlnak 0644 jogot osztunk ki)
find . -type f -name ".htaccess" -exec chmod 0444 {} \; # (Htaccess fájloknak csak olvasási jogot adunk)
find . -type f -name "*.css" -exec chmod 0444 {} \; # (CSS fájloknak csak olvasási jogot adunk)
Jelentkezz be, hogy te is részt vehess beszélgetésben!
- Balázs
-
- Nem elérhető
- Adminisztrátor
-
2014 febr. 15 22:24 - 2014 febr. 15 22:31 #7 Írta: Balázs
Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).
Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu
Balázs válaszolt a következő témában: .htaccess - Ki milyet használ élesben?
Véleményem szerint egy a biztonságra valamit is adó rendszergazda, általában ezeket és még további biztonsági beállítások sorát szokta eszközölni a szervereken. Túlnyomórészt akkor szokott lenni a probléma, amikor a felhasználók elkezdenek a maguk fejük után módosítani jogosultságokat és htcacces bejegyzéseket. Egy megfelelően beállított szerveren limitáltak ezek a funkciók, hogy ezt ne használhassák fel a támadók a saját maguk eszközeként.
Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).
Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu
Utolsó szerkesztés: 2014 febr. 15 22:31 Balázs által.
Jelentkezz be, hogy te is részt vehess beszélgetésben!
- boy
-
- Nem elérhető
- Premium Member
-
Kevesebb Több
- Hozzászólások: 187
- Köszönetek: 8
2014 márc. 01 10:48 #8 Írta: boy
-gf-
boy válaszolt a következő témában: .htaccess - Ki milyet használ élesben?
AdminTool .htacces maker-rel generáltattam egy htaccess fájlt, jó is lenne, de a header modul, és a simpleimage gallery plugin nem jeleníti meg a képeket...
-gf-
Jelentkezz be, hogy te is részt vehess beszélgetésben!
- boy
-
- Nem elérhető
- Premium Member
-
Kevesebb Több
- Hozzászólások: 187
- Köszönetek: 8
2014 márc. 01 16:59 - 2014 márc. 01 17:01 #9 Írta: boy
-gf-
boy válaszolt a következő témában: .htaccess - Ki milyet használ élesben?
Kipróbáltam ezt is (mármint a joomla-security.de által közreadoottat), és a SIG ezzel jó, de a Header modulomban nem jelenik meg kép... jó lenne tudni, melyik parancs blokkolja
-gf-
Utolsó szerkesztés: 2014 márc. 01 17:01 boy által.
Jelentkezz be, hogy te is részt vehess beszélgetésben!