[Обзор] Обеспечение безопасности

07-02-2011, 06:22 AM

Что нужно для того, что бы обезопасить мой форум?

Перво-наперво, что вам нужно – это «Чистый разум, прямые руки и IQ выше среднего».

А теперь по сути…

Темы, с которыми рекомендуется ознакомиться:

Дополнительные рекомендации:

Устанавливайте свежие патчи, для вашей линейки (если таковые есть), и следите за багтраками.
Удаляйте лишние файлы и папки (после апдейта/установки). Например:
(Разные *.txt, *.info, /install/, validator.php, checksum.md5, etc)
Старайтесь ставить как можно меньше разных хаков/продуктов.
Если у вас отключены какие-либо хаки/продукты, то возможно они вам не нужны? Зачем держать лишний хлам? Правильно незачем - удаляйте!
Не забывайте удалять лишние файлы, которые остаются после удаленных хаков/продуктов.
Не храните бэкапы в папке форума/сайта. Доступ к бэкапам должен быть либо через ftp, либо через админ-панель вашего хостинга.

Спорные моменты:

Переместить все вложения в папку в не форума/сайта.
Как перенести?
- Админа-панель -> Вложения -> Место хранения вложений -> Перемещение в указанную директорию -> Например: "../Directory"
Переместит аватары в базу данных. Может сказаться на размерах БД. Посему решать вам.
Как перенести?
- Админа-панель -> Аватары -> Место хранения изображений -> Перемещение из файловой системы в базу данных

Некоторые модули:

Инспектор файлов

Ссылка: http://vbsupport.ru/forum/showthread.php?t=29131
Платформа: 3.6.8 <= 3.8.1
Описание: Это несколько модулей для vBulletin, при помощи которых можно сохранять в базе данных список существующих файлов и время от времени проверять, не изменились ли какие из них (для каждого файла сохраняется размер, владелец и права доступа) -- встроенная cron-задача уведомит администратора по почте о найденных несоответствиях. Можно сохранять в БД несколько различных копий (ревизий) списков файлов для сравнения (автоматическая проверка с уведомлением на email сверяется только с последней ревизией).

vBFirewall

Ссылка: http://vbsupport.ru/forum/showthread.php?t=25125
Платформа: 3.8.x
Описание: эта модификация защитит Ваш форум от всех видов атак. (XSS, SQL инъекции, заражение URL и т.д) Смешно звучит, но всё же. = )

Дополнительные настройки доступа к AdminCP

Ссылка: http://vbsupport.ru/forum/showthread.php?t=32247
Платформа: 3.8.x
Описание: Если кто-то попытается войти в AdminCP не с IP, Группы пользователей, или ID пользователей указанных в вами в настройках, то они будут автоматически перенаправлены на главную страницу форума.

AdminCP AntiHacker

Ссылка: http://vbsupport.ru/forum/showthread.php?t=24589
Платформа: 3.6 <= 3.7.4
Описание: Небольший скрипт который приостоновит хорошего хакера в доступе к админ-панели.

Fake AdminCP / Fake AdminCP v1.0

Ссылка: http://vbsupport.ru/forum/showthread.php?t=16948
Ссылка v1.0: http://vbsupport.ru/forum/showpost.p...1&postcount=15
Платформа: 3.6.x
Описание: Эта небольшая фича является шуткой, основанной на модифицированных оригинальных скриптах vBulletin. Она предназначена для тех форумов где стандартная папка admincp переименовна. Однако, не мешает нам поместить по дефолному URL небольшую шутку. Она заключается в полной имитации страницы входа в Панель Администратора, но залогиниться у Вас не получится - поддельная админка не принимает ни один пароль.

[My IP INFO] С каких IP адресов входили в профиль

Ссылка: http://vbsupport.ru/forum/showthread.php?t=34503
Платформа: 3.8.x
Описание: Данный модуль отображает список IP, с которых входили в профиль пользователя, используя его логин и пароль.

Если по вашему мнению, что-то не попало в обзор, то не стесняйтесь пишите - добавим =)

07-02-2011, 07:34 AM

Quote:

Originally Posted by Prosper

Дополнительные рекомендации:
..........
Админа-панель -> Вложения -> Место хранения вложений -> Перемещение из файловой системы в базу данных
Админа-панель -> Аватары -> Место хранения изображений -> Перемещение из файловой системы в базу данных

да что же это такое?
почему этот бред кочует из темы в тему?
автор сам может пояснить, чем вложения в ФС опасны?
или это копипаст, без понимания сути?

07-02-2011, 10:38 AM

kerk, например, закачиваем абсолютно все файлы форума одним пользователем по ftp и не даем пользователю, от которого работает php, создавать новые файлы нигде кроме временного каталога. Таким образом становится невозможно залить шелл даже если в коде форума есть логические проблемы, но вложения работают нормально.

Я понимаю, нормальный администратор так настроит сервер, что даже если в папке с вложениями будет создан php-скрипт, то он все равно не запустится, но люди для безопасности всегда перестраховываются. Это помогает защититься даже если угроза была неверно оценена. Не одна, так другая мера защитит. Это в порядке вещей для безопасников.
Еще может быть эта привычка пошла от других скриптов, а не форума.

07-02-2011, 10:47 AM

Prosper, Спасибо за обзор.
Но к заметке Kerk'a рекомендую прислушаться. И т.к. я с ним согласен, по крайне мере, пометтье что это очень спорная рекомендация.

07-02-2011, 11:41 AM

Quote:

Originally Posted by netwind

нормальный администратор так настроит сервер, что даже если в папке с вложениями будет создан php-скрипт, то он все равно не запустится

я об этом тоже не перестаю говорить, но почему это нигде не упоминается...
создайте папку вложений ВЫШЕ каталога www, одного этого будет достаточно
почему этот момент всегда опускается при копипастинге "рекомендаций" о хранении вложений в БД?
и ведь это уже только на нашем форуме не первая тема
а сколько такого копипаста на других форумах?
хз, спасибо им говорить или ругаться, но на многих стоит: "источник - vbsupport.ru"

07-02-2011, 03:09 PM

Quote:

Originally Posted by kerk

автор сам может пояснить, чем вложения в ФС опасны?
или это копипаст, без понимания сути?

Это автомат, с пониманием сути.

Quote:

Originally Posted by kerk

я об этом тоже не перестаю говорить, но почему это нигде не упоминается...

В первой теме, с которой рекомендуется ознакомиться, есть это упоминание.

Quote:

Originally Posted by kerk

создайте папку вложений ВЫШЕ каталога www, одного этого будет достаточно

Спасибо, добавил.

Quote:

Originally Posted by J. Corvin

Но к заметке Kerk'a рекомендую прислушаться. И т.к. я с ним согласен, по крайне мере, пометтье что это очень спорная рекомендация.

Пост обновил.

07-03-2011, 12:39 AM

Quote:

Originally Posted by kerk

создайте папку вложений ВЫШЕ каталога www, одного этого будет достаточно

а вдруг выше нельзя создавать папки?

07-03-2011, 08:18 AM

Quote:

Originally Posted by netwind

выше нельзя создавать папки?

да ладно =)
сейчас практически все хостеры предоставляют фтп доступ не к www, а хотя бы к корню аккаунта
я не говорю уже про свои сервера
да и много ли людей пользуют шаред хостинг для воблы?

07-03-2011, 01:00 PM

А как быть с папкой для аватаров, ее выше каталога не создашь как у вложений ??? (((

07-03-2011, 01:48 PM

Quote:

Originally Posted by xorex

как быть с папкой для аватаров, ее выше каталога не создашь как у вложений ??

и об этой мелочи писал несколько раз
если свой сервак, настроить vhost так, что бы директории, находящиеся в www и имеющие права для записи в них, были недоступны для выполнения в них исполняемых файлов
или можно в такие директории положить файлик .htaccess, содержимое файла тоже неоднократно выкладывалось
это касается не только папки аватар, но так же всех папок, в которых никогда небыло и не должно быть никаких исполняемых (серверных) файлов, например папки изображений или clientscript (vB)