То есть надо в htpasswd делать логин пользователя на хостинге? на директорию только 755 работает, в тех поддержке хостинга сказали нормально) на сам файл установил 444.
PSИ все же про posting.php очень интересно
Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Железная защита форума при помощи .htaccess & .htpasswd
-
PifaGor
- phpBB 1.0.0
- Сообщения: 4
- Стаж: 18 лет 9 месяцев
-
okunev2
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 18 лет 9 месяцев
YarNET писал(а):Итак, в связи с участившимися взломами форумов из-за различного рода уязвимостей в коде исходного phpBB, есть предложение несколько уменьшить риск полной потери контроля на администрируемом вами форуме за счет использования паролирования директории /admin/ и файла modcp.php – первое обеспечит защиту от нелегального доступа к панели администрирования, второе ограничит доступ к панели модерирования.
Защищаем директорию /admin/
Создаем файл .htaccess, который будет находится в директории /admin/
Его содержание:
Код:
AuthUserFile /полный путь к директории, в которой находится файл с паролями /.htpasswd
AuthName "Access to the panel of administration"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>
Дале, защищаем панель модерации форумов modcp.php
Создаем файл .htaccess, который будет находится там же, где и modcp.php, т.е. в корневом каталоге.
Его содержание:
Код:
<Files modcp.php>
AuthName "Access to the panel of the moderator"
AuthType Basic
AuthUserFile / полный путь к директории, в которой находится файл с паролями /.htpasswd
require valid-user
</Files>
Теперь при помощи специальной утилиты создадим файл .htpasswd, в котором будут содержаться пароли доступа в зашифрованном виде (MD5 Unix)
Скачать программу для создания паролей здесь
Теперь практически все готово, остается придумать название директории, которую вы создадите и положите в нее два файла: один .htpasswd – ваши пароли, второй – еще один .htaccess для защиты этой директории следующего содержания:
Код:
<Files .htpasswd>
deny from all
</Files>
Теперь все сделано. Это минимизирует возможные потери информации и пр. в случаи взлома форума и получения прав администратора злоумушленником.
Большое спасибо YarNET, сделал все как здесь написано работает!
Я указал для директории admin Chmod = 755 а всем файлам внутри 644 - ПРАВИЛЬНО!
И еще ситуация такая, я защетил файл modcp.php как написано в начале поста, код .htaccess таков:
Код: Выделить всё
<Files modcp.php>
AuthType Basic
AuthName "Access to the panel of MODERATORS !"
AuthUserFile /home/www/krb/forum/pass/.htpasswd
<Limit GET POST>
require valid-user
</Limit>
</Files>
У меня возник вопрос, а еще же в корневой директории лежит config.php в нем же прописан пароль к базе sql и прочие настройки, как его защитить так же через этот .htaccess, ПОДСКАЖИТЕ как правильно дописать код в нем, которым я защетил modcp.php ТАК ЖЕ для config.php-
Siava
- Поддержка
- Сообщения: 5366
- Стаж: 19 лет 11 месяцев
- Откуда: Питер
- Благодарил (а): 194 раза
- Поблагодарили: 831 раз
okunev2
config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
okunev2
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 18 лет 9 месяцев
-
admir
- phpBB 1.0.0
- Сообщения: 2
- Стаж: 18 лет 8 месяцев
-
okunev2
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 18 лет 9 месяцев
-
Никто
- Advanced Lamers Team
- Сообщения: 316
- Стаж: 18 лет 11 месяцев
- Откуда: Химки
- Забанен: Бессрочно
Ну тогда можно засунуть конфик подальше в папки со сгенерированным именем md5 кодером...Siava писал(а):config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
Долой edgar'a - самого тупого юзера на форуме!
-
okunev2
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 18 лет 9 месяцев
т.е. , не понятно, подробнее можно, если не трудноНикто писал(а):Ну тогда можно засунуть конфик подальше в папки со сгенерированным именем md5 кодером...Siava писал(а):config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
-
VVVas
- Former team member
- Сообщения: 4463
- Стаж: 20 лет 1 месяц
- Поблагодарили: 1 раз
-
Picasso
- phpBB 1.4.2
- Сообщения: 62
- Стаж: 19 лет 5 месяцев
- Откуда: Москва
Re: Железная защита форума при помощи .htaccess & .htpas
Небольшая поправка:
Попытался скачать, в ответ получил:YarNET писал(а):Теперь при помощи специальной утилиты создадим файл .htpasswd, в котором будут содержаться пароли доступа в зашифрованном виде (MD5 Unix)
Скачать программу для создания паролей здесь
Соответственно качаем теперь здесьThe Web site cannot be found
HTTP 404 - File not found
--------------------------------------------------------------------------------
The Magenta Systems web site has been recently redesigned, and you are attempting to access a page:
/apps/passwd12.zip
that no longer exists.
--------------------------------------------------------------------------------
The new URL is http://www.magsys.co.uk:80/download/software/passwd.zip
You will be automatically redirected to this new URL after 10 seconds.
If you followed a link to this site please inform them of the new URL
ибо нефиг!
-
Arhar
- phpBB 1.2.1
- Сообщения: 21
- Стаж: 18 лет 9 месяцев
Прочитал всю тему.
На гавнаве, то есть агаве
все файлы созданы правильно
при входе пароль не спрашивает, сразу заходит и всё.
попытался http://www.cgi-central.net/scripts/htedit/
на гавнаве выдаётся ошибка CGI при попытке запустить этот файл, хотя папка cgi для скриптов там есть, может необходимо как-то особенно обращатся к этому скрипту, не открывать его по ссылке в браузере?
Добавлено спустя 19 минут 42 секунды:
ааааа
так вот, надо было перезагрузить компьютер, чтоб заработало...
как чёрт возьми это связано???
На гавнаве, то есть агаве
все файлы созданы правильно
при входе пароль не спрашивает, сразу заходит и всё.
попытался http://www.cgi-central.net/scripts/htedit/
на гавнаве выдаётся ошибка CGI при попытке запустить этот файл, хотя папка cgi для скриптов там есть, может необходимо как-то особенно обращатся к этому скрипту, не открывать его по ссылке в браузере?
Добавлено спустя 19 минут 42 секунды:
ааааа
так вот, надо было перезагрузить компьютер, чтоб заработало...
как чёрт возьми это связано???
Мне 16 лет и впервые открыл я phpBB с момента регистрации на этом форуме, поэтому НЕ НАДО ПОСЫЛАТЬ МЕНЯ В ПОИСК!
-
Максим Босой
- phpBB 1.2.1
- Сообщения: 25
- Стаж: 18 лет 10 месяцев
Ну не пашет на локалхосте!
Народ, всё сделал по инструкциям.
Менял даже проги для создания пароля.
Вводил все комбинации путей.
На локалхосте не пашет!
Не принимает пароль.
Может всё-таки дело в путях? Проверьте...
Сервер выдает адрес корня форума как
Z:\home\mysite.ru\forum
В браузере мой форум запускается как http://forum.mysite.ru
Пароль лежит в папке \parol\ в корне форума.
В файле .htaccess какой путь ставить?
По логике
/parol/.htpasswd
(хотя пробовал путь удлинять вплоть)
**********
Или может что-то в настройках сервера?
Ставил по Denver2.
В чем причина?
Спасибо заранее.
Максим
Менял даже проги для создания пароля.
Вводил все комбинации путей.
На локалхосте не пашет!
Не принимает пароль.
Может всё-таки дело в путях? Проверьте...
Сервер выдает адрес корня форума как
Z:\home\mysite.ru\forum
В браузере мой форум запускается как http://forum.mysite.ru
Пароль лежит в папке \parol\ в корне форума.
В файле .htaccess какой путь ставить?
По логике
/parol/.htpasswd
(хотя пробовал путь удлинять вплоть)
**********
Или может что-то в настройках сервера?
Ставил по Denver2.
В чем причина?
Спасибо заранее.
Максим
-
Siava
- Поддержка
- Сообщения: 5366
- Стаж: 19 лет 11 месяцев
- Откуда: Питер
- Благодарил (а): 194 раза
- Поблагодарили: 831 раз
Максим Босой
Путь к файлу пароля должен быть полный от самого корня файловой системы.
Путь к файлу пароля должен быть полный от самого корня файловой системы.
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
Максим Босой
- phpBB 1.2.1
- Сообщения: 25
- Стаж: 18 лет 10 месяцев
-
Assassin
- phpBB 1.2.1
- Сообщения: 25
- Стаж: 18 лет 7 месяцев
