Astuces de sécurisation [Forum - Règles et savoir-vivre sur FrXoops] - Communauté Francophone des Utilisateurs de Xoops

Inscription

Index des forums Communauté Francophone des Utilisateurs de Xoops - Support Général

Règles et savoir-vivre sur FrXoops

Astuces de sécurisation

Bas

Suivant S'enregistrer pour contribuer

« 1 (2) 3 4 »

#11 Re: Astuces de sécurisation

masterbanq Posté le : 05/06/2006 12:04

Merci pour tout. J'suis en train de tester

AuthUserFile /VOTRE ADRESSE/kernel/.htpasswd (à créer)

Pour "VOTRE ADRESSE", il faut mettre quoi ?

J'ai essayé de créer le mot de passe. Mais quand je le rentre, ça ne marche pas.

#12 Re: Astuces de sécurisation

satanas Posté le : 07/06/2006 13:44

Bonjour,

Suite à une discussion avec Kris sur une sorte d'attaque détectée, je voudrais juste apporter quelques modifications

dans le .htaccess proposé en début de discussion, pour être actif, je penses qu'il manque un espace entre ~ "

Citation :

# Interdire la lecture/écriture des fichiers index - admin - mainfile
# Remplacez admin.php par le nom réel si vous renommez ce fichier
<Files ~ "\admin.php$">
deny from all
</Files>

<Files ~ "\index.php$">
deny from all
</Files>

<Files ~ "\mainfile.php$">
deny from all
</Files>

Pour ma part, j'ai plusieurs personnes qui doivent accéder à l'admin, donc je préfère laisser à Xoops gérer cette partie, mais par contre j'ai mis la protection sur le mainfile.php et en déplacant les mots de passe du mainfile dans un fichier externe à la zone accessible par le serveur

Article en Anglais sur le déplacement des mots de passe

Citation :

<Files ~"\mainfile.php$">
deny from all
</Files>

et enfin j'ai ajouté dans la racine du répertoire themes un autre .htaccess pour éviter l'accès aux fichiers theme.html des différents thèmes installés
Citation :

<Files ~ "theme.html">
Order allow,deny
Deny from all
</Files>

<FilesMatch "theme_blockcenter_?.html">
order deny,allow
deny from all
</FilesMatch>

#13 Re: Astuces de sécurisation

masterbanq Posté le : 18/06/2006 08:54

ok merci pour tout !!!

#14 Re: Astuces de sécurisation

Jaguar Posté le : 29/10/2006 17:34

Citation :

orel a écrit:
Um petit up pour les nouveaux qui veulent un Xoops bétonné

Pareil !!! Un Xoops en beton armé ! ;)

#15 Re: Astuces de sécurisation

Ash Posté le : 02/11/2006 09:02

Très bonne idée de uper ce sujet :

Je rajoute quelques unes de mes règles :

Pour le .htpasswd en principe, il vaut mieux le placer dans un dossier hors ligne. Exemple :

/compte06/htdocs/xoops.fr/kernel/.htpasswd dossier accessible sur internet
/compte06/secure/.htpasswd dossier inaccessible sur internet

En fonction de l'hebergeur, le dossier accessible à internet peut changer : webdocs, publi_html, www, etc...

Ensuite pour proteger toutes les zones admin je place le .htaccess dans tous les dossiers admin :

Exemple newbb/admin/.htaccess xcgal/admin/.htaccess etc...

Citation :

dans le .htaccess proposé en début de discussion, pour être actif, je penses qu'il manque un espace entre ~ "

Je confirme.

Citation :

Pour ma part, j'ai plusieurs personnes qui doivent accéder à l'admin, donc je préfère laisser à Xoops gérer cette partie, mais par contre j'ai mis la protection sur le mainfile.php et en déplacant les mots de passe du mainfile dans un fichier externe à la zone accessible par le serveur

Suffit juste de placer les utilisateurs dans le .htpasswd, il peut en contenir plusieurs. C'est vrai que ça demande un peu plus d'organisation pour donner différent accès à certain mais pas à d'autre, pour des modules précis, etc... Mais on peut vraiment tout faire avec le couple .htaccess et .htpasswd

Enfin, c'est vraiment un très bon sujet

#16 Re: Astuces de sécurisation

nimaka Posté le : 07/01/2007 23:26

Um petit up pour les nouveaux qui veulent un Xoops bétonné

#17 Re: Astuces de sécurisation

coincoin Posté le : 07/01/2007 23:56

y'a t il un gros risque si on fait pas ca ?
et si oui lequel ?

car j'ai pas compris grand chose

#18 Re: Astuces de sécurisation

Kris Posté le : 08/01/2007 00:14

@ coincoin : Si tu as déjà protector "actif" et à jour de version, tu ne devrais pas avoir de problème

A +

#19 Re: Astuces de sécurisation

Jey Posté le : 08/01/2007 15:14

Je viens de faire la manip point par point, mais le site est bloqué, j'obtiens :

Citation :

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, webmaster@provider.fr and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.

Le renvoi du mainfile fonctionne.
Le renvoi d'admin.php fonctionne.

J'ai mis le .htaccess dans Kernel avec le code donné.
J'ai mis le .htaccess à la racine avec le code donné en ajoutant le chemin du site ( AuthUserFile /monsite/www/kernel/.htpasswd (à créer) )
J'ai mis le .htpasswd dans Kernel.

Est-ce à cause de l'hébergeur ? Une erreur de ma part ?

#20 Re: Astuces de sécurisation

Jey Posté le : 08/01/2007 15:21

Orel, si tu peux ajouter ce lien en rappel dans le 1er post (merci) :
https://www.frxoops.org/modules/smartsection/item.php?itemid=62

Haut

« 1 (2) 3 4 »

S'enregistrer pour contribuer

Vous pouvez voir les sujets.

Vous ne pouvez pas débuter de nouveaux sujets.

Vous ne pouvez pas répondre aux contributions.

Vous ne pouvez pas éditer vos contributions.

Vous ne pouvez pas effacez vos contributions.

Vous ne pouvez pas ajouter de nouveaux sondages.

Vous ne pouvez pas voter en sondage.

Vous ne pouvez pas attacher des fichiers à vos contributions.

Vous ne pouvez pas poster sans approbation.

Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

16 Personne(s) en ligne (14 Personne(s) connectée(s) sur Forum) | Utilisateur(s): 0 | Invité(s): 16 | Plus ...