Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.

Железная защита форума при помощи .htaccess & .htpasswd

Темы по наиболее часто задаваемым вопросам по phpBB 2.0.x. Читать в первую очередь!
PifaGor
phpBB 1.0.0
Сообщения: 4
Стаж: 18 лет 9 месяцев

Сообщение PifaGor »

Siava Спасибо!
То есть надо в htpasswd делать логин пользователя на хостинге? на директорию только 755 работает, в тех поддержке хостинга сказали нормально) на сам файл установил 444.
PSИ все же про posting.php очень интересно :?
Аватара пользователя
okunev2
phpBB 1.4.0
Сообщения: 31
Стаж: 18 лет 9 месяцев

Сообщение okunev2 »

YarNET писал(а):Итак, в связи с участившимися взломами форумов из-за различного рода уязвимостей в коде исходного phpBB, есть предложение несколько уменьшить риск полной потери контроля на администрируемом вами форуме за счет использования паролирования директории /admin/ и файла modcp.php – первое обеспечит защиту от нелегального доступа к панели администрирования, второе ограничит доступ к панели модерирования.

Защищаем директорию /admin/

Создаем файл .htaccess, который будет находится в директории /admin/
Его содержание:

Код:

AuthUserFile /полный путь к директории, в которой находится файл с паролями /.htpasswd
AuthName "Access to the panel of administration"
AuthType Basic

<Limit GET POST>
require valid-user
</Limit>



Дале, защищаем панель модерации форумов modcp.php
Создаем файл .htaccess, который будет находится там же, где и modcp.php, т.е. в корневом каталоге.
Его содержание:


Код:

<Files modcp.php>
AuthName "Access to the panel of the moderator"
AuthType Basic
AuthUserFile / полный путь к директории, в которой находится файл с паролями /.htpasswd
require valid-user
</Files>



Теперь при помощи специальной утилиты создадим файл .htpasswd, в котором будут содержаться пароли доступа в зашифрованном виде (MD5 Unix)
Скачать программу для создания паролей здесь

Теперь практически все готово, остается придумать название директории, которую вы создадите и положите в нее два файла: один .htpasswd – ваши пароли, второй – еще один .htaccess для защиты этой директории следующего содержания:

Код:

<Files .htpasswd>
deny from all
</Files>



Теперь все сделано. Это минимизирует возможные потери информации и пр. в случаи взлома форума и получения прав администратора злоумушленником.


Большое спасибо YarNET, сделал все как здесь написано работает!

Я указал для директории admin Chmod = 755 а всем файлам внутри 644 - ПРАВИЛЬНО!

И еще ситуация такая, я защетил файл modcp.php как написано в начале поста, код .htaccess таков:

Код: Выделить всё

<Files modcp.php>
AuthType Basic
AuthName "Access to the panel of MODERATORS !"
AuthUserFile /home/www/krb/forum/pass/.htpasswd
<Limit GET POST>
	require valid-user
</Limit>
</Files>
:?: У меня возник вопрос, а еще же в корневой директории лежит config.php в нем же прописан пароль к базе sql и прочие настройки, как его защитить так же через этот .htaccess, ПОДСКАЖИТЕ как правильно дописать код в нем, которым я защетил modcp.php ТАК ЖЕ для config.php
Аватара пользователя
Siava
Поддержка
Поддержка
Сообщения: 5366
Стаж: 19 лет 11 месяцев
Откуда: Питер
Благодарил (а): 194 раза
Поблагодарили: 831 раз

Сообщение Siava »

okunev2
config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb 2.0.x 3.5.x)
Аватара пользователя
okunev2
phpBB 1.4.0
Сообщения: 31
Стаж: 18 лет 9 месяцев

Сообщение okunev2 »

И ка быть в такой ситуации!
admir
phpBB 1.0.0
Сообщения: 2
Стаж: 18 лет 8 месяцев

Сообщение admir »

недопускать дырки , тк прочитать файл можно из фтп
Аватара пользователя
okunev2
phpBB 1.4.0
Сообщения: 31
Стаж: 18 лет 9 месяцев

Сообщение okunev2 »

И как быть в этой ситуации?
Аватара пользователя
Никто
Advanced Lamers Team
Сообщения: 316
Стаж: 18 лет 11 месяцев
Откуда: Химки
Забанен: Бессрочно

Сообщение Никто »

Siava писал(а):config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
Ну тогда можно засунуть конфик подальше в папки со сгенерированным именем md5 кодером...
Долой edgar'a - самого тупого юзера на форуме!
Аватара пользователя
okunev2
phpBB 1.4.0
Сообщения: 31
Стаж: 18 лет 9 месяцев

Сообщение okunev2 »

Никто писал(а):
Siava писал(а):config.php таким образом защищать бесполезно, так как в нём храняться только переменные и содержимое файла не выводится.
Конечно его можно прочитать, с помощью какой-нибудь дырки в php-скриптах, позволяющей выполнять команды на сервере..
Ну тогда можно засунуть конфик подальше в папки со сгенерированным именем md5 кодером...
т.е. , не понятно, подробнее можно, если не трудно :oops:
Аватара пользователя
VVVas
Former team member
Сообщения: 4463
Стаж: 20 лет 1 месяц
Поблагодарили: 1 раз

Сообщение VVVas »

okunev2
не тормозите
admir писал(а):недопускать дырки , тк прочитать файл можно из фтп
я люблю daft punk | новый sugoi.ru
Аватара пользователя
Picasso
phpBB 1.4.2
Сообщения: 62
Стаж: 19 лет 5 месяцев
Откуда: Москва

Re: Железная защита форума при помощи .htaccess & .htpas

Сообщение Picasso »

Небольшая поправка:
YarNET писал(а):Теперь при помощи специальной утилиты создадим файл .htpasswd, в котором будут содержаться пароли доступа в зашифрованном виде (MD5 Unix)
Скачать программу для создания паролей здесь
Попытался скачать, в ответ получил:
The Web site cannot be found
HTTP 404 - File not found
--------------------------------------------------------------------------------
The Magenta Systems web site has been recently redesigned, and you are attempting to access a page:
/apps/passwd12.zip
that no longer exists.
--------------------------------------------------------------------------------
The new URL is http://www.magsys.co.uk:80/download/software/passwd.zip
You will be automatically redirected to this new URL after 10 seconds.
If you followed a link to this site please inform them of the new URL
Соответственно качаем теперь здесь
ибо нефиг!
Arhar
phpBB 1.2.1
Сообщения: 21
Стаж: 18 лет 9 месяцев

Сообщение Arhar »

Прочитал всю тему.
На гавнаве, то есть агаве
все файлы созданы правильно
при входе пароль не спрашивает, сразу заходит и всё.

попытался http://www.cgi-central.net/scripts/htedit/
на гавнаве выдаётся ошибка CGI при попытке запустить этот файл, хотя папка cgi для скриптов там есть, может необходимо как-то особенно обращатся к этому скрипту, не открывать его по ссылке в браузере?

Добавлено спустя 19 минут 42 секунды:

ааааа
так вот, надо было перезагрузить компьютер, чтоб заработало...
как чёрт возьми это связано???
Мне 16 лет и впервые открыл я phpBB с момента регистрации на этом форуме, поэтому НЕ НАДО ПОСЫЛАТЬ МЕНЯ В ПОИСК!
Максим Босой
phpBB 1.2.1
Сообщения: 25
Стаж: 18 лет 10 месяцев

Ну не пашет на локалхосте!

Сообщение Максим Босой »

Народ, всё сделал по инструкциям.

Менял даже проги для создания пароля.

Вводил все комбинации путей.

На локалхосте не пашет!

Не принимает пароль.

Может всё-таки дело в путях? Проверьте...

Сервер выдает адрес корня форума как

Z:\home\mysite.ru\forum

В браузере мой форум запускается как http://forum.mysite.ru

Пароль лежит в папке \parol\ в корне форума.

В файле .htaccess какой путь ставить?

По логике

/parol/.htpasswd

(хотя пробовал путь удлинять вплоть)

**********

Или может что-то в настройках сервера?

Ставил по Denver2.

В чем причина?

Спасибо заранее.

Максим
Аватара пользователя
Siava
Поддержка
Поддержка
Сообщения: 5366
Стаж: 19 лет 11 месяцев
Откуда: Питер
Благодарил (а): 194 раза
Поблагодарили: 831 раз

Сообщение Siava »

Максим Босой
Путь к файлу пароля должен быть полный от самого корня файловой системы.
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb 2.0.x 3.5.x)
Максим Босой
phpBB 1.2.1
Сообщения: 25
Стаж: 18 лет 10 месяцев

Сообщение Максим Босой »

Siava писал(а):Максим Босой
Путь к файлу пароля должен быть полный от самого корня файловой системы.
Значит в моём случае это будет так:

AuthUserFile z:/home/mysite.ru/forum/parol/.htpasswd

или так

AuthUserFile /home/mysite.ru/forum/parol/.htpasswd


В обоих случаях глухо. Неверный пароль.

М.
Assassin
phpBB 1.2.1
Сообщения: 25
Стаж: 18 лет 7 месяцев

Сообщение Assassin »

Максим Босой
/home/www/yoursite/htdocs/forum/parol/.htpasswd
возможно.

Вернуться в «FAQ (phpBB 2.0.x)»