что нужно сделать после завершения работы над сайтом ?

[IgorRU]

в целях безопасности что нужно сделать после завершения работы над сайтом ? сделал config.php 644-атрибут (корневом каталоге и в админ панели ), а еще что нужно?

[aafilippov]

а остальное под 777 осталось чтоли?

[IgorRU]

а остальное под 777 осталось чтоли?

как после инсталляции движка сделал так и осталось. А как должно быть ?

[aafilippov]

755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю.

Если доступ дать на файлы с папками юзеру от которого вэб-сервер запущен, то и менять права не надо будет, хотя на большинстве хостингов так и есть.

Из защиты админки, запаролить ее через .htaccess, можно еще и переименовать. Есть файрволы еще на php, можно и им обезопаситься :-)

+ поставить мод который будет следить за изменениями файлов, сразу видно будет если кто заразит. Ну и сайты на джумле и вордпрессе рядом не держать, а то ломают часто.

А с недавних пор я еще и ip выделенный стал заказывать, тоже защита, например, от ростелекома, который из-за соседей может нормальный сайт в блок запихать

[Luchik]

1) Бэкап на винчестер (файлы и базу)
2) бэкап в запасном месте

3) 

755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю.

 

Я так же делаю.

4)В некоторые папки (например, download) можно закинуть файл .htaccess с содержанием:

Order allow,deny
Deny from all

# Prevent Directoy listing
Options All -Indexes

[IgorRU]

Папки Download и Image тоже сделать 755?

 

1) Бэкап на винчестер (файлы и базу)
2) бэкап в запасном месте

3) 

Я так же делаю.

4)В некоторые папки (например, download) можно закинуть файл .htaccess с содержанием:

Order allow,deny
Deny from all

# Prevent Directoy listing
Options All -Indexes

А что дает 4-й пункт ? поясните пожалуйста.

[aafilippov]

1) Бэкап на винчестер (файлы и базу)

2) бэкап в запасном месте

3) 

Я так же делаю.

4)В некоторые папки (например, download) можно закинуть файл .htaccess с содержанием:

Order allow,deny

Deny from all

# Prevent Directoy listing

Options All -Indexes

Да, точно, я забыл дописать, тоже закидываю htassecc во все нужные папки

 

Папки Download и Image тоже сделать 755?

 

А что дает 4-й пункт ? поясните пожалуйста.

блокирует доступ всем в папку

[LccccL]

если в admin закинуть .htaccess, какой текст вписать?

этот -

Order allow,deny

Deny from all

# Prevent Directoy listing
Options All -Indexes ???

[IgorRU]

если в admin закинуть .htaccess, какой текст вписать?

этот -

Order allow,deny

Deny from all

# Prevent Directoy listing

Options All -Indexes ???

Если честно, тоже не понял! Этот текст напечатать в обычном блокноте набрать ?

[webds]

Прочел, решил и че нить самому дописать  

 

Вообще безопасность  - штука интересная. Я занимаюсь ней некоторое время, изучал, анализировал и могу сказать, что при аренде хостинга, ее сложно максимально обеспечить своему сайту.  Более реалистично, что то сделать, только при выделенным сервере.

 

Выше посмотрел переписку, хочу ответить на некоторые вопросы.  

 

4)В некоторые папки (например, download) можно закинуть файл .htaccess с содержанием:

Order allow,deny
Deny from all

# Prevent Directoy listing
Options All -Indexes

 

 

 

А что дает 4-й пункт ? поясните пожалуйста.

блокирует доступ всем в папку

 

 

Да, действительно доступ будет прямого вызова недоступен.

Order allow,deny   -  это правило очередности выполнения действий.

Deny from all  - это правило запрещает доступ к файлам

Также хочу предупредить что действия htaccess распространяется на все поддиректории.

 

Вообще моя Все рекомендация -  НЕ ИСПОЛЬЗУЙТЕ  htaccess, а лучше вообще отключить его использование.

Правила прописывать в конфигурации сервера, куда не смогут залезть так называемые "вирусные" скрипты.

 

Если очень нужно  использования этих файлов,  как одна с идей,  можно переименовать htaccess на любое другое имя, но опять, для работы нужен свой веб сервер. 

 

 

Options All -Indexes 

 

 

Это запрет на просмотр каталогов, если в нем нет индексового файла ,который сервер по умолчанию должен запустить

 

755 на папки, 644 на файлы

 

 

Честно говоря, я вообще не понимаю зачем эти права нужны и зачем с ними работать. Да согласен что нужно по максимуму  закрывать право на запись файла, и ставить только чтение.  Но как показал опыт, все скрипты работают  под Админ правами сервера.  Потому, если кто то к Вам каким то образом что то залил, то он сможет управлять правами на скрипты , папки и т.д.

Честно пока мало эффекта видел от этого назначения прав, хотя элементарная защита как бы есть , и я все же рекомендую выставлять права по максимуму правильно.  

 

 

Из защиты админки, запаролить ее через .htaccess,

 

Уточню информацию.

 

Самим htaccess не чего не получится.   В реале этот файл нужен для создания правил, которые выполняет сервер.  

Чтоб установить пароль нужен будет еще и файл .htpasswd, в котором и хранятся пароль.

 

Почитать как это сделать, думаю не составить труда, статей много.  

 

+ поставить мод который будет следить за изменениями файлов

 

 

Ммм конечно не понятно о каком модули идет речь,  но в реальности на сервере должен минимум стоять модуль 

mod_security

 

, сразу видно будет если кто заразит

 

 

Это легко делается  через команды в консуле 

 

 

 

Будет время, возможно буду описывать все моменты безопасности. 

 

А вообще мне интересно, на сколько эта тема актуальна для людей? 

[aafilippov]

 

 

Вообще моя Все рекомендация -  НЕ ИСПОЛЬЗУЙТЕ  htaccess, а лучше вообще отключить его использование.

ЧПУ

 

 

Честно говоря, я вообще не понимаю зачем эти права нужны и зачем с ними работать.

Если не понимаешь это не значит что надо выставить 777  и забить

 

 

Но как показал опыт, все скрипты работают  под Админ правами сервера.

Скрипты работают от пользователя от которого запущен вэб сервер

 

 

Ммм конечно не понятно о каком модули идет речь

Ни о каком, это делается отдельным скриптом. Хотя можно реализовать Security module + backup

 

 

Это легко делается  через команды в консуле 

Это как? В апаче есть логи которые показывают изменения содержимого фалов?!

[webds]

Добрый день aafilippov, Вы занимаетесь безопасностью?   

Просто если нет, то попрошу не комментировать мои посты в не верном направление.

 

Уважаемые пользователи, специалисты. Если есть те кто занимается безопасностью,  прошу ответить мне в личку.  Хотелось бы собрать Вас всех в месте в будущем, и обсуждать разные идеи и алгоритмы. 

 

ЧПУ

 

 

Для этого не обязательно использовать htaccess. Просто, если бы Вы знали что это за файл, для чего нужен, как можно без него работать, не писали мне о ЧПУ.

 

htaccess - согласен, что удобно очень.  Но если использовать возможность назначения правил работы сервера через внешние файлы (htaccess ), то  для большей безопасности лучше его перейменовать и задать ему другое  имя, чтоб не могли найти скрипты вирусы его.  

 

 

Честно говоря, я вообще не понимаю зачем эти права нужны и зачем с ними работать.

Если не понимаешь это не значит что надо выставить 777  и забить

 

 

Тут сложно Вам понять мои слова, не проанализировав тактику и алгоритмы взломов.  Описывать к сожалению не вижу смысла, потому оставим это.

 

Скрипты работают от пользователя от которого запущен вэб сервер

 

 

))))  Будет у меня время я вас озадачу.

А сейчас отвечу просто.   -Вирус скрипты и  Ваш сайт работают под одним пользователем.  И смысла в правах нет вообще, если человек залил к вам вирус через дыру в вашей системе. Права он может какие угодно поставить. 

 

 

Ни о каком, это делается отдельным скриптом. 

 

 

Это не есть хорошо. и не есть правильно. 

Хотя на какой то % конечно поднимает безопасность.

 

Это как? В апаче есть логи которые показывают изменения содержимого фалов?!

 

 

)) При чем тут Апач?

 

Командами через ssh консоль прямо обращаетесь к линуксу.  

 

Security module + backup

 

 

 

Есть тоже много нюансов.  

Если особенно ставить разные условия.  

[aafilippov]

 

 

Для этого не обязательно использовать htaccess

спасибо кэп, а мы дураки за него взялись

 

Это не есть хорошо. и не есть правильно. 

Хотя на какой то % конечно поднимает безопасность.

Спасибо кэп, а я дурак на почту получаю изменения содержимого файлов, а оказывается это плохо

 

 

Командами через ssh консоль прямо обращаетесь к линуксу.  

Господи, сохрани админский бубен. Даже если ты это реализуешь, проще пойти и застрелиться чем через консоль изменения php  кода смотреть

 

 

Есть тоже много нюансов.  

 

да живи ты проще, делай бекапы да сервер правильно настрой, а если надо будет и так сломают

 

))))  Будет у меня время я вас озадачу.

А сейчас отвечу просто.   -Вирус скрипты и  Ваш сайт работают под одним пользователем.  И смысла в правах нет вообще, если человек залил к вам вирус через дыру в вашей системе. Права он может какие угодно поставить. 

уязвимость вэб-сервера, хрен с ним, нашел кулцхакер дыру, запустил скрипт от юзера вася, и каким боком он мне сервер уронит если прав нету ни на че у него? думаю после этого тебе станет понятно для чего права на папки и файлы

[webds]

 запустил скрипт от юзера вася,

 

 

Ну включите же логику, если она у Вас есть.. не пишите глупостей.  Вы наверное путаете доступ по ftp и работу скриптов.  

 

 и каким боком он мне сервер уронит если прав нету ни на че у него?

 

 

Я уже написал.  Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом. 

 

Нет в разделения прав на Васю, Петю, и т.д.  Но по логике, если бы были,  то каждый пользователь, который бы зашел на сайт Ваш, должен был бы как то себя идентифицировать, то есть назвать себя, от какого он пользователя использует сайт, от Васи или Пети.

Еще раз повторю, всегда обдумайте сначала  то что пишите. 

 

да живи ты проще, делай бекапы да сервер правильно настрой, а если надо будет и так сломают

 

 

Может поделишься "Правильной настройкой" ?

 

А на счет бекапов - это конечно хорошо. Но в реале, бекапы нужны для воостановления сайта после кривых рук программиста, который что то писал и все поломал.

 

В жизни, если злоумышленник находит лазейку, он будет постоянно лезть через нее, и поверь - первый раз ее сложно найти. Остальные разы для взлома ему нужно будет несколько секунд или максимум несколько минут.   

 

Потому нужно искать эти лазейки и закрывать.

 

Господи, сохрани админский бубен. Даже если ты это реализуешь, проще пойти и застрелиться чем через консоль изменения php  кода смотреть

 

 

Я надеюсь только на то что ты не работаешь Администратором серверов.   :ugeek:

Что значит это реализовать? Это тоже самое что тебе на windows запустить media player и посмотреть фильм. Но конечно для некоторых и это может быть сложным, согласен   :-D

 

спасибо кэп, а мы дураки за него взялись

 

 

Это с той истории,  докажи алкашу что он алкаш.  )))

 

Использование htaccess - сами разработчики рекомендуют не использовать.

Что ты на это скажешь?  Хотя всем сказано.  

[afwollis]

webds, может где-то в чем-то ты и понимаешь, но в вопросах безопасности, поднятых в этой теме, ты выглядишь просто клоуном со своими сообщениями.

aafilippov, не обращай внимания на него.

[webds]

 ты выглядишь просто клоуном со своими сообщениями.

 

 

afwollis

Может конкретнее укажите на мои  сообщения "клоунады"? 

 

Вы бы лучше конкретно прокомментировали мои ответы, я бы постарался описать проблемы по возможности с примерами.  

 

А писать о клуонаде, любой гость этого форума сможет.

[neocaridina]

А писать о клуонаде, любой гость этого форума сможет.

Ну ведь реально смешно))

Особенно пользователям шаред-хоcтингов, у которых вся надежда на htaccess, права файлов и ModSecurity от хостера. Иногда на php.ini, если дадут..

А так да, при фулдоступе ты сам себе хозяин и .htaccess ненада.

Только основной контингент как-раз то и на шареде...

[afwollis]

Может конкретнее укажите на мои  сообщения "клоунады"?

та пожалуйста

Я уже написал.  Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом.

тчк.

[webds]

та пожалуйста

 

 

Что то кому то доказывать не имеет смысла.

Я написал то что проверял - а это факт. 

Мало того Вы своего хостера спросите)

 

Я пишу только проверенные и проанализированные советы, рекомендации, за то и ценятся мои услуги, а Вы делайте в том в чем уверенны.

 

afwollis

 

 

Я конечно вижу, что Вы OC Team

 

Но как по мне так в этой теме много флудта.

Я написал то что знаю.

А Вы - мне хотите что то доказать, не проверив это на реале.

 

 

Ну ведь реально смешно))

Особенно пользователям шаред-хоcтингов

 

 

 

мда уж....

И что смешного?

 

 

Только основной контингент как-раз то и на шареде... 

 

 

А при чем тут контингент ?

 

Я пишу о том, как обезопасить серьезные проекты.

А клиент пусть себе сам думает, брать вируальный хостинг или выделенный сервер.

 

 

Думал описывать разные моменты безопасности в подробностях и указывать на места опасные для работы в этом движке...

но что то такое возмущение "СПЕЦОВ" на этом форуме отбило мне желание это делать.  Потому соглашусь с Вами.  Лучше все делать как Вы пишите, а мои "смешные" сообщения прошу модераторов вообще удалить за некорректность. Спасибо. 

 

)))))

[neocaridina]

Да ладно, это ж форум...

"Норм спецы" тут не шарятся по чужим темам а сразу врываются со своей)

Давай дубль два, новую тему где всё по пунктам.

[s7a8n9]

Ребята, где взять модуль Security module + backup

[Blondi]

Давайте немного внесем ясность в то, с чем мы пытаемся работать...

 

1. Свое железо, своя операционка, свой PHP, свой сайт.

Что мы имеем? Мы должны заботиться о безопасности железа, патчить саму операционку, патчить PHP и конечно же то что на нем крутится, сам сайт.

 

2. VDS\VPS - о железе и операционке заботится хостер, у нас есть рутовые права, мы можем ставить какие то модули сами. Заботится надо только о безопасности сайтов.

 

3. Шаринг-хостинг. Все что можно сделать, какие модули поставить - все зависит от хостинга. Рутовых прав нету, есть только доступ на FTP и в SQL. Все. Работаем только с тем с чем нам разрешили.

 

С точки зрения безопасности конечно же первый предпочтительнее, третий наименее гибок, второй - компромиссный вариант.

Но давайте не будем забывать еще и о стоимости того или иного решения. Если у человека магазин на бесплатном движке и $100 на допил, то первые два варианта отпадают сразу.

 

Давайте рассматривать пока что только третий вариант, поскольку подавляющее большинство пользователей OpenCart используют все таки его, и даже если использовать первый и второй, то безопасность самого сайта там тоже присутствует.

 

1. Исходный код. Еще до того как магазин будет закончен, нужно помнить о безопасности, а именно о том откуда взялся тот или иной код. Бывает так что непонятно откуда взявшийся модуль уже несет в себе бэкдор. Проверить его на virustotal не составит труда.

2. Права доступа на файлы и папки. Какие права ставить - 640, 777 - зависит от многого, но в любом случае нужно руководствоваться минимально необходимыми правами для работы. Да, конечно же, если у Вас свое собственное железо, то можно вообще раздел смонтировать в RO и навсегда забыть о правах, но мы же говорим о более сложном варианте?

3. Защита доступа к FTP - обязательно сложные пароли и по возможности ограничить доступ по IP адресам, если хостинг позволяет.

4. Файл .htaccess. Опять таки, если третий вариант хостинга, то без него никуда. Его можно закидывать в разные папки с разными параметрами, уже писали.

5. Бэкапы. Бэкапы делают все хостеры, у себя же нужно иметь эталонную копию файлов и базы. И нужно это не для того что бы быстро восстановить сайт, это делается из админки хостера за пару кликов, а для того что бы иметь возможность сравнить файлы по содержимому и найти те или иные изменения которые непонятно кем вносились. И опять таки это ищется не для того что бы удалить изменения, а для того что бы понять что собственно произошло и почему.

6. Защита админки. Да, есть много способов защиты админки. Можно через .htaccess разрешить доступ только с определенных IP адресов, или добавить .htpasswd и входить по паролю сначала в каталог, потом в админку, или переименовать её, или добавить капчу, что бы не подобрали пароль. Пароли, опять таки - не ставьте простые пароли. Вроде как прописная истина, но никто не этого не делает. Но честно говоря я не вижу особого смысла тут заморачиваться, поскольку если каким то образом залит шелл на хостинг, то можно получить доступ и в админку, и куда угодно. И вряд ли злоумышленнику интересно сколько чего и кому вы продали в своем магазине.

7. Собственно поиск уязвимостей. Вот тут много говорили - найдут дыру и поломают. А что мешает самим поискать эти уязвимости, и устранить их? Есть куча сканеров безопасности. Причем делать это надо не только после окончания работ по сайту, а периодически.

[s7a8n9]

755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю.

Если доступ дать на файлы с папками юзеру от которого вэб-сервер запущен, то и менять права не надо будет, хотя на большинстве хостингов так и есть.

Из защиты админки, запаролить ее через .htaccess, можно еще и переименовать. Есть файрволы еще на php, можно и им обезопаситься :-)

+ поставить мод который будет следить за изменениями файлов, сразу видно будет если кто заразит. Ну и сайты на джумле и вордпрессе рядом не держать, а то ломают часто.

А с недавних пор я еще и ip выделенный стал заказывать, тоже защита, например, от ростелекома, который из-за соседей может нормальный сайт в блок запихать

Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры?

[Blondi]

Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры?

Самое простое - через фтп-файл-менеджер встроенный в панель управления хостингом.

[IgorRU]

хорошо. закружили...  тогда так , может кто-то подсказать , как спрятать саму папку admin? Напиример как в wordpress есть плагин, который прячет админку при обращении к ней пересылает на главную .  а тут свою папку сделать (права 755?) , например goadmin и работать ...