Форум русской поддержки Joomla!® CMS
11.12.2016, 00:26:36 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Защитный.htacces

 (Прочитано 734 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Mehanick
Завсегдатай
*****

Репутация: +0/-0
Offline Offline

Сообщений: 431


« : 16.01.2016, 20:52:49 »

Код:
# запрет листинга всех папок и под-папок
Options -Indexes

php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

# Отключаем PHP.
RemoveType php

<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
Order Deny, Allow
Deny from all

Нашел на форуме этот код для .htassecc, у меня вопросы к специалистам по безопасности

1. Можно все оставить в файле или чтото лишнее или неактуальное и можно убрать?
2. Подойдет ли такой файл в папки images и tmp, или чтото еще доавить может? php как модуль апаче.

Заранее благодарен за ответы.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Online Online

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #1 : 17.01.2016, 03:05:44 »

я скажу так, есть некие расширения которые интерпретируются как PHP, но в вашем списке не указаны, второй момент зависит от конфигурации апача по интерпретации расширений, третий момент, предпочитаю разрешать нужные мне расширения, запрещая все остальные...
Записан
shurakana
Живу я здесь
******

Репутация: +48/-6
Offline Offline

Сообщений: 862



« Ответ #2 : 17.01.2016, 05:28:43 »

третий момент, предпочитаю разрешать нужные мне расширения, запрещая все остальные...
А вот тут можно по подробнее, что вы имеете ввиду?
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Online Online

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #3 : 17.01.2016, 12:51:49 »

А вот тут можно по подробнее, что вы имеете ввиду?
как пример, в корневой .htaccess встовляем такую херь:
Тут в перечисленных папках запрещаем выполнение всего!
Цитировать
<Files ~ "^(templates|stories|plugins|patch|modules|media|logs|libraries|language|includes|images|components|cache)\.*$">
Order Allow,Deny
Deny from all
</Files>

Тут в перечисленных папках разрешаем только то, что нам нужно (статестические страници, медиафайлы, стили, еще что то по необходимости)
Цитировать
<Files ~ "^(templates|stories|plugins|patch|modules|media|logs|libraries|language|includes|images|components|cache)\.(bmp|woff|ttf|svg|eot|css|csv|doc|gif|html|htm|jpg|jpeg|js|pdf|png|ppt|psd|swf|tiff|txt|xls|BMP|CSS|CSV|DOC|GIF|HTML|JPG|JPEG|JS|PDF|PNG|PPT|PSD|SWF|TIFF|TXT|XLS|mp4)$">
allow from all
</Files>
Т.е разрешаем все то что нам нужно, что не попадает в список разрешенных расширений в указанных папках, будет выдаваться 403 ошибка
Записан
Mehanick
Завсегдатай
*****

Репутация: +0/-0
Offline Offline

Сообщений: 431


« Ответ #4 : 17.01.2016, 16:34:03 »

хрень получается, двойная работа.
что делает это?
Код:
<Files ~ "^(templates|stories|plugins|patch|modules|media|logs|libraries|language|includes|images|components|cache)\.*$">
Order Allow,Deny
Deny from all
</Files>

Если заплещает в выбранных папках все, а потом вашем методом в них же других хтачес рарешаем, то не легче сразу в этих папках одним хтачес запретить все, разрешая чтото нужное.
Записан
Mehanick
Завсегдатай
*****

Репутация: +0/-0
Offline Offline

Сообщений: 431


« Ответ #5 : 17.01.2016, 16:39:29 »

Или вы имели ввиду

Код:
<Files ~ "^(templates|stories|plugins|patch|modules|media|logs|libraries|language|includes|images|components|cache)\.*$">
Order Allow,Deny
Deny from all
</Files>

Тут в перечисленных папках разрешаем только то, что нам нужно (статестические страници, медиафайлы, стили, еще что то по необходимости)
Цитировать
<Files ~ "^(templates|stories|plugins|patch|modules|media|logs|libraries|language|includes|images|components|cache)\.(bmp|woff|ttf|svg|eot|css|csv|doc|gif|html|htm|jpg|jpeg|js|pdf|png|ppt|psd|swf|tiff|txt|xls|BMP|CSS|CSV|DOC|GIF|HTML|JPG|JPEG|JS|PDF|PNG|PPT|PSD|SWF|TIFF|TXT|XLS|mp4)$">
allow from all
</Files>

Это все в один корневой хтасес вставляТЬ? тогда другое дело
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7786



« Ответ #6 : 17.01.2016, 16:39:38 »

Цитировать
Подойдет ли такой файл в папки images и tmp, или чтото еще доавить может?
tmp - нельзя запрещать запуск php
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Online Online

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #7 : 17.01.2016, 18:39:56 »

Это все в один корневой хтасес вставляТЬ? тогда другое дело
Да в корневом, да и по логике тут явно все видно!

tmp - нельзя запрещать запуск php
Аргументируйте почему? а потом постройте логическую ципочку и попробуйте еще раз аргументировать!
Записан
Mehanick
Завсегдатай
*****

Репутация: +0/-0
Offline Offline

Сообщений: 431


« Ответ #8 : 17.01.2016, 19:37:28 »

Друг выложи если шаришь окончательный вариант htaccess для корневой папки

И еще вопрос, для подпапок это действует?
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7786



« Ответ #9 : 17.01.2016, 20:32:28 »

Аргументируйте почему? а потом постройте логическую ципочку и попробуйте еще раз аргументировать!
согласен, обойдемся даже без первого аргументируем Azn не учел, что используется не прямой доступ к файлу.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Online Online

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #10 : 17.01.2016, 22:01:32 »

Друг выложи если шаришь окончательный вариант htaccess для корневой папки

И еще вопрос, для подпапок это действует?
для подпапок действует, окончательный вариант может быть динамический и индивидуальный, каждому по своей потребности.
Так же советую разобраться с https://github.com/nikosdion/master-htaccess/blob/master/htaccess.txt для Joomla
Записан
skidrow
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 72


alien_halite


« Ответ #11 : 16.07.2016, 21:57:41 »

Коллеги!

Если для защиты от листинга, что из этого можно прописать в файле .htaccess

Options All -Indexes
Options -Indexes
IndexIgnore *

И если все можно решить таким способом, зачем угарать с размещением пустого index.html в каждой директории?

Спасибо!
Записан
effrit
Группа развития
*****

Репутация: +733/-7
Offline Offline

Пол: Мужской
Сообщений: 6827


effrit.com


« Ответ #12 : 16.07.2016, 22:56:50 »

skidrow, в стандартном файле трешек уже прописано
IndexIgnore *

а заглушки кидают на случай, если суперхостинг, например, не позволяет использовать .htaccess.
ну это такой вариант полумифический, но в нашем удивительном мире все же встречаются и такие удивительные хостеры.
Записан
skidrow
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 72


alien_halite


« Ответ #13 : 17.07.2016, 00:14:13 »

О! Исчерпывающе, спасибо! Значит, можно не плодить эти файлики, если компонент без оных.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Online Online

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #14 : 17.07.2016, 12:24:52 »

если такого файлика не будет, то я в него смогу прописать бегдор и вызвать, к примеру images/?cmd=phpinfo(); в результате чего смогу обойти определенные значения, конечно на разных серваках по разному, но все же лучше иметь index.php|html с правами 0444
Записан
skidrow
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 72


alien_halite


« Ответ #15 : 17.07.2016, 12:37:22 »

все же лучше иметь index.php|html с правами 0444

это вы имеете ввиду вот те самые пустые файлики, которые должны быть в каждой папке, состоять из

Код:
<!DOCTYPE html><title></title>

и иметь права доступа 0444 ?
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3540


« Ответ #16 : 17.07.2016, 12:52:05 »

это вы имеете ввиду вот те самые пустые файлики, которые должны быть в каждой папке, состоять из

Код:
<!DOCTYPE html><title></title>

и иметь права доступа 0444 ?

Да это и имеем ввиду.

Почитайте темы на форуме, реально уже достали, все думающие и сильно умные с вопросом зачем пустой индекс в каждой папке, а он необходим был, есть и будет, и в следующем веке и последующих.
Реально зачем задавать такие вопросы если решили сделать как кажется верно и без ответа на вопрос.
Вот не понимаю кому пустые индексы мешают.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Online Online

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #17 : 17.07.2016, 13:30:56 »

Ну хуть кто то мне плюсик поставил, я счастлив))))))))
Записан
skidrow
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 72


alien_halite


« Ответ #18 : 17.07.2016, 13:41:51 »

flyingspook, если "реально достали", то есть у вас ряд способов - удалить и блокировать юзеров, закрыть форум или убиться об стену. Я так понимаю, площадка для того создана, чтобы люди общались, а если вы считаете, что вопрос глупый, то это только ваши комплексы. Если вы не в курсе, то сюда и ходят за тем, чтобы задавать глупые вопросы, а умные люди делятся опытом.

"Почитайте форум", я перед тем, как сделать этот пост, потратил кучу времени на копание в результатах поиска, но ничего подходящего не нашел. Вам что жаль строчку текста кинуть, вместо того, чтобы я неделю рыл все темы? Или просто необходимость в *** мокнуть юзера при своем статусе? Неужели нельзя проявить элементарную человеческую толерантность? Я и так стараюсь не сильно беспокоить жителей форума своими вопросами - но зачем мне заниматься поиском несколько часов подряд или больше, если я могу спросить, это же не требуется научную статью на мой вопрос писать. Уверен, я у автора пять минут украл, не более. Так для того мы здесь все и сидим. Или мы уже забыли что такое человеческие отношения - одни должны заткнуться и сидеть, другие почивать на лаврах?

Тем более, что последний пост в этой теме был от 17.01 ! Вот уж "достали так достали", как вы говорите, прямо-таки заддосили сервер постами в этой теме...

А если уж по теме, то есть такие компоненты, например jshopping , у которого нет таких заглушек и приходится вручную ему их закидывать, вот и спросил. Это не потому что хочу тут дурака повалять.

А вам, камрад, желаю быть немного терпимее к людям, я тут без злого умысла все делаю, если вам так кажется. А если "достали", так блокируйте, все в ваших руках. Но шелбанов отпускать не надо, это вам не подобает, как модератору. Да и не думаю, что слишком уж вас "достал".
Записан
effrit
Группа развития
*****

Репутация: +733/-7
Offline Offline

Пол: Мужской
Сообщений: 6827


effrit.com


« Ответ #19 : 17.07.2016, 13:50:30 »

да, какая-то странная ситуация получается.
не так давно ведь была статья от автора акибы (если не ошибаюсь), в которой все эти файлы анахронизмом назывались и призывалось пользоваться htaccess.
как бы у меня нет оснований не доверять этому человеку.
и если "достали", то имеет смысл собрать структурно тему и закрепить её.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Online Online

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #20 : 17.07.2016, 13:55:20 »

да, какая-то странная ситуация получается.
не так давно ведь была статья от автора акибы (если не ошибаюсь), в которой все эти файлы анахронизмом назывались и призывалось пользоваться htaccess.
как бы у меня нет оснований не доверять этому человеку.
и если "достали", то имеет смысл собрать структурно тему и закрепить её.
кстате, поддерживаю! что то типо FAQ сделать в закрепленной теме....

"Почитайте форум", я перед тем, как сделать этот пост, потратил кучу времени
Значит не достаточно потратели времени, либо в меру своей не опытности, что то не понял..., вся инфа в нете доступна и предельно ясна, просто надо уметь ее понимать и разбираться с ней...
« Последнее редактирование: 17.07.2016, 13:59:11 от winstrool » Записан
effrit
Группа развития
*****

Репутация: +733/-7
Offline Offline

Пол: Мужской
Сообщений: 6827


effrit.com


« Ответ #21 : 17.07.2016, 14:01:23 »

кстати, вот статейка
https://www.dionysopoulos.me/188-the-files-of-wrath.html
Записан
skidrow
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 72


alien_halite


« Ответ #22 : 17.07.2016, 14:29:28 »

Значит не достаточно потратели времени, либо в меру своей не опытности, что то не понял..., вся инфа в нете доступна и предельно ясна, просто надо уметь ее понимать и разбираться с ней...
возникает логичный вопрос, смысл данного специализированного форума? Вся другая инфа тоже в инете есть. Вполне согласен, что в меру своей неопытности. Тогда надо в правилах форума прописать, что постить имеют право не ниже уровня senior )

Я думал, форумы для того и создаются, чтобы была возможность работать в виртуальном коллективе. А что, тогда здесь можно делать, если нельзя задавать вопросы? Ведь так про любой вопрос можно сказать, что инфа 99.9% есть в интернете )
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7786



« Ответ #23 : 17.07.2016, 14:40:34 »

кстати, вот статейка
я уже писал где-то в похожей теме, на данный момент разработчики Joomla отказались от практики размещения файлов index.html во всех каталогах. в последнем дистрибутиве найдете всего лишь 20 таких файлов. также требование об обязательных index.html в каталогах убрано из правил размещения расширений на JED

если такого файлика не будет, то я в него смогу прописать бегдор
имеется в виду - при уязвимой системе сможете прописать? а почему именно в него, а не в любой другой?

А если уж по теме, то есть такие компоненты, например jshopping , у которого нет таких заглушек и приходится вручную ему их закидывать, вот и спросил.
имхо это лишнее. если они есть, то специально удалять их тоже особо смысла не вижу. но и создавать специально честно говоря тоже Azn
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Online Online

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #24 : 17.07.2016, 15:02:30 »

имеется в виду - при уязвимой системе сможете прописать? а почему именно в него, а не в любой другой?
Да, при уязвимой системе, а в него потому что он не интерпретируется как расширение, к пример мы блочим все выполнение по расширениям в папки images, как следствие выполнения по расширениям images/?cmd=phpinfo(); или images/index.php?cmd=phpinfo();, чувствуите разницу? во втором случае сработает htaccess по расширению, в первом нет...
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Online Online

Сообщений: 7786



« Ответ #25 : 17.07.2016, 16:13:00 »

да, я понимаю, именно этот вариант единственный и пришел в голову, но в таком случае вам придется иметь в папках не index.html, а index.php. потому как на сервере приоритет индексной страницы скорее всего будет у index.php, а не у index.html. а index.html вероятнее всего будет статикой, и не позволит выполнять в себе php. а index.php разработчики расширений уж точно не пишут в расширения в каталоги.

вы конечно правы относительно этого, но имхо этот вариант больше не массовый, а когда вы сами настраиваете разрешения выполнения по папкам, доступным для upload. тогда да, согласен, наличие таких файлов с соответствующими правами не будут лишними. а тут больше речь об index.html как защите от листинга. а это имхо бестолковость.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Online Online

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #26 : 17.07.2016, 19:51:26 »

да, я понимаю, именно этот вариант единственный и пришел в голову, но в таком случае вам придется иметь в папках не index.html, а index.php. потому как на сервере приоритет индексной страницы скорее всего будет у index.php, а не у index.html. а index.html вероятнее всего будет статикой, и не позволит выполнять в себе php. а index.php разработчики расширений уж точно не пишут в расширения в каталоги.

вы конечно правы относительно этого, но имхо этот вариант больше не массовый, а когда вы сами настраиваете разрешения выполнения по папкам, доступным для upload. тогда да, согласен, наличие таких файлов с соответствующими правами не будут лишними. а тут больше речь об index.html как защите от листинга. а это имхо бестолковость.
ну харошо.... на счет PHP уговорили..., ну что мешает тогда оставить бегдор ввиде xss?
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #27 : 18.07.2016, 07:27:47 »

Хватит пи ***  меряться.
Лучше подскажите, как я понял, желательно везде залить пустышку index.html (<!DOCTYPE html><title></title>) и на своё усмотрение сделать .htacess ?

Определите лучше для всех минимальную защиту в данном файле, обсуждениями придите к нужному и закрепим потом как FAQ.
Записан
AlekVolsk
Профи
********

Репутация: +317/-3
Offline Offline

Пол: Мужской
Сообщений: 6461



« Ответ #28 : 18.07.2016, 08:23:14 »

файл-пустышка нужен только в подпапках первого уровня вложенности от корня сайта, глубже - не нужно, но в .htaccess обязательно должно присутствовать
IndexIgnore *
Options +FollowSymlinks
Options -Indexes
Записан
vipiusss
Профи
********

Репутация: +261/-8
Offline Offline

Пол: Мужской
Сообщений: 4573


Skype: renor_


« Ответ #29 : 18.07.2016, 08:38:13 »

Так, тогда буду компоновать, а вы помогайте/дополняйте (оригинальный J!3.6):
буду этот пост менять исходя из дополнений

Результат:

Показать текстовый блок

Изменения:


AlekVolsk: а там уже есть
Показать текстовый блок
« Последнее редактирование: 18.07.2016, 08:44:09 от vipiusss » Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet