Поговорим о главном - безопасности!

[ADem]

Всем привет!
Хотелось бы почитать по организации мер безопасности при эксплуатации форума CMF. Форум установлен, и как говорится, вопрос очень актуален.
С уважением,
ADem.

[ADem]

Наверное я неправильно сформулировал свой вопрос? Тогда конкретный вопрос, на папочку attachments необходим CHMOD 777, что у меня вызывает неккоторое опасение в плане безопасности. Хотелось бы выслушать мнение по данному вопросу.

[Mavn]

755 вполне достаточно на все папки 644 на файлы на Settings.php 600 или 400 в зависимости от настроек сервака на Settings_bak.php 600

[ADem]

ОК! Спасибо.

[Avdenago]

755 вполне достаточно на все папки 644 на файлы на Settings.php 600 или 400 в зависимости от настроек сервака на Settings_bak.php 600

Не знаю. Поставил на все папки 777, на файлы - разные стоят. но не ниже 644.
м все равно например моды не ставятся. А по ФТП поменять пермишн не могу.

Как предожите поступить?

[Kerlen]

Вопрос по CHMOD на файлы форума.

После взлома сайта хостер, не долго думая, решил, что проблема в уязвимости скрипта форума. И изменил CHMOD на файлы форума. Какие теперь права нужно выставить файлам для нормальной работы движка? Достаточно ли этой информации:

755 вполне достаточно на все папки 644 на файлы на Settings.php 600 или 400 в зависимости от настроек сервака на Settings_bak.php 600

?

[Mavn]

а после взлома сайта тебе логи были предоставлены? ты хоть сам просматривал логи чтобы узнать как и через что тебя поломали??

[Kerlen]

Сорри, я чистый пользователь, кроме HTML - ничего. Что хоть искать нужно в этих строках?

В результате взлома было внесено изменение в корневой .htaccess сайта - вписан редирект на другой сайт.

[vivisektor]

Народ,скажу вам из своей практике,а не по наслышке....права 644 для файлов, это мало.Скжу почему. Проснулся сёня утром и заглянул на свой форум... Зашёл сначало через жар птицу, попытался залогинится как админ...не вышло,получил сообщение о неверном пароле. Меня это смутило...я стал грешить на браузер..перезагрузился на осла... так он ваще при загрузке сайта повис...Мало того все шрифты через осла были просто гигантские... Попробовал через оперу..и вуаля...сработал нод...обнаружен троян... ясный х..н что взлом... залез в спанел..немного покапался и нашёл вот что...в индексе главном скрипт вируса.... в файле настроек сетингс тоже скрипт правда незнаю тот же самый или нет...я просто удалил его.. и поставил для индекса права 444 а для сетингс как вы посоветовали выше 600...вот теперь смотрите... мне кажется безопасность при 644 практически 0-я.... а так смотрите сами...

[Mavn]

Хех а мне ничего не мешает при взломе менять не index.php а какой либо другой файл

[vivisektor]

вот..я о том и говорю..что на мой взгляд у разработчиков большой пробел в безопасности... и непонятно как это лечить..даш меньше прав....будут проблемы с работой

[Kerlen]

Тогда вновь возникает вопрос - какие права нужно выставлять для файлов чтобы и форум нормально работал и уровень безопасности был высокий? Или это принципиальная проблема SMF и решается только переходом на альтернативный движок?

[Avdenago]

Народ,скажу вам из своей практике,а не по наслышке....права 644 для файлов, это мало.

обнаружен троян... ясный х..н что взлом... залез в спанел..немного покапался и нашёл вот что...в индексе главном скрипт вируса.... в файле настроек сетингс тоже скрипт правда незнаю тот же самый или нет...я просто удалил его.. и поставил для индекса права 444 а для сетингс как вы посоветовали выше 600...вот теперь смотрите... мне кажется безопасность при 644 практически 0-я.... а так смотрите сами...

вот..я о том и говорю..что на мой взгляд у разработчиков большой пробел в безопасности... и непонятно как это лечить..даш меньше прав....будут проблемы с работой

Начну издалека. Самая защищенная служба госбеза была в СССР, в КГБ. никакой хакер не мог ее взломать. Открыть ключиком шуфлядку в столе мог только начальник:)

так и тут.

Вы путаете одно с другим.

Хак налицо. я сам сталкивался минимум три раза с таким хаком.
И во всех трех случаях права на папки были не причем.

Во всех трех слуаях взлом, якобы взлом, осуществлялся через ФТП...  поясняю. просто кто-то стянул у вас пароли - а дальше дело автоматики - скрипт подключается на фтп, и вперед... 

Никакие права на папки на сервере не спасут вас от трояна на вашей локальной машине и так далее. 

Так что это не у разработчиков пробелы с безопасностью, а скорее у вас, уважаемые форумчане... 

[Mavn]

вот..я о том и говорю..что на мой взгляд у разработчиков большой пробел в безопасности... и непонятно как это лечить..даш меньше прав....будут проблемы с работой

Тогда вновь возникает вопрос - какие права нужно выставлять для файлов чтобы и форум нормально работал и уровень безопасности был высокий? Или это принципиальная проблема SMF и решается только переходом на альтернативный движок?

бред о каких правах и о какой безопасности вы говорите. Проблема smf ....
Если для вас это проблема в безопасности smf от того что вы выставили 644 а не 400 то не знаю что сказать вам. Разве только то что БОЛЬШИНСТВО СКРИПТОВ РАБОТАЮТ с CHMOD 644 или даже 755 и проблем не имеют.
не вижу смысла в дальнейшем обсуждении данной проблемы если вы не разбираясь в вопросе что то утверждаете

[Kerlen]

Ну, лично я ничего и не утверждал, только спрашивал.

Однако вот ещё конкретный вопрос. На моём хосте установка прав на Settings.php ниже 644 приводит к fatal error. Насколько допустимо с точки зрения безопасности использование работоспособных 644 на этом файле?

[vivisektor]

А мне не кажется что слеует закрывать тему пока не решён вопрос. Почему  если как вы утверждаете что права 644 достаточны для нормально безопасности форума кто то умудрился внедрить в файлы на сервере диструктивный код Мне кажется что на этот вопрос я ещё не получил ответа!!!

[Avdenago]

А мне не кажется что слеует закрывать тему пока не решён вопрос. Почему  если как вы утверждаете что права 644 достаточны для нормально безопасности форума кто то умудрился внедрить в файлы на сервере диструктивный код Мне кажется что на этот вопрос я ещё не получил ответа!!!

Хак налицо. я сам сталкивался минимум три раза с таким хаком.
И во всех трех случаях права на папки были не причем.

Во всех трех слуаях взлом, якобы взлом, осуществлялся через ФТП...  поясняю. просто кто-то стянул у вас пароли - а дальше дело автоматики - скрипт подключается на фтп, и вперед... 

Никакие права на папки на сервере не спасут вас от трояна на вашей локальной машине и так далее. 

Так что это не у разработчиков пробелы с безопасностью, а скорее у вас, уважаемые форумчане... 

этого мало?

[bbbbbb]

┌───────────────────────── Команда chmod ──────────────────────────┐
│   ┌ Права доступа ────────────────┐  ┌ Файл ─────────────────┐   
│   │ [ ] присв. UID при выполнении │  │ Имя                   │   
│   │ │ [ ] присв. GID при выполнении │   
│   │ [ ] закрепляющий бит          │  │ Доступ (восьмеричный) │ 
│   │

• чтение для владельца      │  │ 100644                │   
  │   │
• запись для владельца      │  │ Имя владельца         │   
  │   │ [ ] запуск/поиск для владельца│   
  │   │
• чтение для группы         │  │ Имя группы            │   
  │   │ [ ] запись для группы         │   
  │   │ [ ] запуск/поиск для группы   │  └───────────────────────┘   
  │   │
• чтение для других         │       
  │   │ [ ] запись для других         │     
  │   │ [ ] запуск/поиск для других   │ 
  │   └───────────────────────────────┘

1. Можно выключить "запись для владельца", но не знаю что получиться 444

2. По поводу .htaccess , его можно защетить с помощью mod_rewrite, должен быть на сервере
«Главное преимущество mod_rewrite — настраиваемость и гибкость Sendmail. Обратная сторона mod_rewrite — настраиваемость и гибкость Sendmail».
«Несмотря на тонны примеров и документацию, mod_rewrite это Вуду. Чертовски клёвый Вуду, но все-таки Вуду.»

3. Многие большие форумы выключили вложения файлов, скорее всего для поднятия безопасности

[Xvost]

Сегодня форум выдавал такие ошибки:

Проблема с отправкой почты. Ошибка: 451 Error while writing spool file

Ошибка базы данных: Got error 28 from storage engine
Файл: /home/rpc200307/domains/postvorskla.p-ws.info/public_html/SSI.php
Строка: 361

Зашёл на сервер и обнаружил, что Settings_bak.php пуст. Что бы это могло быть?