Upload
bernard-toplak
View
59
Download
0
Embed Size (px)
Citation preview
www.joomla-hrvatska.com
Moja Joomla! u divljinama weba
Joomla! Hrvatska vam predstavlja:
Sigurnost i stabilnost Joomla! instalacija
www.joomla-hrvatska.com
Vaš današnji prezenter:
Bernard Toplak
- vlasnik obrta „ORION”, Donji Kneginec, Varaždin www.orion-web.hr, www.federation-servers.com
www.joomla-hrvatska.com
Agenda
Vrste PHP načina rada
... i zbilja mislim da je to dovoljno za danas
Razlike između Windows i Linux datotečnih prava
... i još sigurnosnih savjeta
Kako saznati s kojom vi imate posla
Sigurnosna checklista
... i gdje još možete pronaći korisno štivo
7
6
5
4
3
2
1
www.joomla-hrvatska.com
... i zašto je to bitno za vas ...Vrste izvršavanja PHP-a
A
Kod instalacije morate koristiti 777 prava?
Kad uploadate slike ili datoteke putem Joomle – više ih ne možete izbrisati putem FTP-a?
... To znači da imate probleme s lošom konfiguracijom servera...
www.joomla-hrvatska.com
... i zašto je to bitno za vas ...Vrste izvršavanja PHP-a
Geeky: PHP je kompajliran kao neovisan CGI binary
Non-Geeky:PHP se izvršava se neovisno o Apacheu, te za svaki zahtjev mora kreirati novi proces
PHP-CGI / FastCGI / FCGI
Geeky: PHP je zapravo kompajliran kao Apache library, dakle PHP interpeter izvršava se kao dio Apache procesa
Non-Geeky:PHP je ovdje brz pošto je praktički dio Apache-a
Kao Apache modul (mod_php)
A B
www.joomla-hrvatska.com
Apache modul (mod_php)
• Apache efikasnije upravlja zahtjevima
• Nešto brže izvršavanje od CGI moda (ne uvijek!)
• Pod većim opterećenjem (teoretski) je stabilniji
PREDNOSTI NEDOSTATAK
• Veliki: izvršava se kao dio Apache procesa - dakle kao Apache UNIX korisnik
• Kako god se trudili, mod_php će se u određenom trenutku „overloadati” i postati nestabilan i srušiti Apache proces (redoviti restart)
www.joomla-hrvatska.com
PHP-CGI / PHP-FastCGI / mod_fcgid
• Velika: Sigurnost –PHP proces se izvršava pod ispravnim korisnikom
• Fleksibilnost – zbog sigurnosnih problema mod_php često ima isključene neke funkcije, što kod CGI moda ne treba
• FastCGI i mod_fcgid način rada su brzinom gotovo identični onoj kod mod_php
PREDNOSTI NEDOSTATAK
• GET varijable koje nisu regularne (?foo=bar) varijable ne rade bez mod_rewrite
• php direktive u .htaccess-u (php_include_dir /home/user;....) neće raditi.
• $_SERVER['SCRIPT_NAME'] varijabla vraća php.cgi datoteku umjesto imena vaše skripte
• Perzistentne konekcije na bazu ne rade (mysql_pconnect() otvara novu konekciju)
www.joomla-hrvatska.com
A. Zamoliti ljubazno support osoblje
B. Još bolje: zamoliti da vam daju uvid u ispis phpinfo() funkcije
Pa kako saznati na koji način PHP radi na (potencijalnom) serveru?
<?php phpinfo(); ?>
www.joomla-hrvatska.com
Pa kako saznati na koji način PHP radi na (potencijalnom) serveru?
www.joomla-hrvatska.com
Pa kako saznati na koji način PHP radi na (potencijalnom) serveru?
www.joomla-hrvatska.com
... poznatijim i kao „permissions”, permišni, CHMOD ...A što je s datotečnim pravima ???
Urbana legenda kaže da tu nema briga ali...Apache: u pravilu nema problema
IIS: u kombinaciji s Joomlom! zna biti vrlo „čangrizav” ...
Windows Server
Datoteke: 644 ili manjeMape: 755 ili manje(ako je PHP u CGI modu)
Datoteke: što manjeMape: što manje(ako je mod_php)
Linux / *NIX braća i sestre
A
http://www.joomlatutorials.com/joomla-tips-and-tricks/40-miscellaneous-joomla-tips/113-joomla-and-unix-file-permissions-explanation.htmlhttp://www.joomlatutorials.com/joomla-tips-and-tricks/40-miscellaneous-joomla-tips/112-joomla-and-windows-file-permissions-explanation.html
www.joomla-hrvatska.com
... da, da, naravno da ih ima...Prvo loše vijesti !
Ne postoji savršena sigurnost na webu !
Ne postoji samo jedan „pravi način” !
Ne postoji zamjena za iskustvo !
1
2
3
www.joomla-hrvatska.com
... Jer nije sve tako sivo ...A sada dobre vijesti !
1. I početnici mogu napraviti mnogo za svoju sigurnost...istražujte web/Joomla! Sigurnost, tražite pomoć na forumu...
2. Zbilja nije tako teško kao što se čini... Počnite učiti malo po malo, krenite s najbitnijim stvarima ...
3. Ako vas ipak „crackiraju” – budite pametni... detalje o napadu kojem ste žrtva dostavite Joomla! Security Task Forceu, ne objavljujte na forumu ...
www.joomla-hrvatska.com
Sigurnost Joomla! instalacije
1. Nadograđujte redovito i često- koristite najnoviju verziju Joomle! i komponenti
www.joomla-hrvatska.com
Sigurnost Joomla! instalacije
2. Izrađujte sigurnosne kopije redovito i često
www.joomla-hrvatska.com
Sigurnost Joomla! instalacije
3. Koristite siguran i pouzdan hosting - ne dajte da vas se zavara i navuće „unlimited XYZ”
- koristite hosting checklistu za provjeru gdje hostate:
http://docs.joomla.org/Security_Checklist_2_-_Hosting_and _Server _Setup
http://docs.joomla.org/How_do_you_choose_a_quality_hosting_provider%3F
www.joomla-hrvatska.com
Sigurnost Joomla! instalacije
4. Koristite pomoć zajednice, foruma - na sreću još postoje ljudi koji će uvijek rado pomoći
www.joomla-hrvatska.com
Sigurnost Joomla! instalacije
5. Deinstalirajte sve ekstenzije koje doista ne koristite - i svakako provjerite da se one koje koristite ne nalaze na popisu poznati nesigurnih ekstenzija:
http://docs.joomla.org/Vulnerable_Extensions_List
http://feeds.joomla.org/JoomlaSecurityVulnerableExtensions
http://docs.joomla.org/How_do_you_choose_secure_extensions%3F
www.joomla-hrvatska.com
Sigurnost Joomla! instalacije
6. Razvijajte lokalno, ne na serveru... VCS - kada napredujete pred vrata PHP-a, koristite IDE, Eclipse je često korišten, a uputa setupa je ovdje:
http://docs.joomla.org/Setting_up_your_workstation_for _Joomla!_development
www.joomla-hrvatska.com
Sigurnost Joomla! instalacije
7. Koristite li sigurnu „admin” lozinku ??? - ... ili „1234”, „abc123”, „asdf” ??
- minimalno 8 znakova, velika/mala slova i specialni znak
- SVAKAKO: promjenite korisničko ime „admin” u neko drugo – ne olakšavajte im da vam haknu samo lozinku
www.joomla-hrvatska.com
Sigurnost Joomla! instalacije
8. Instalirajte „Joomla! Tools Suite” - http://joomlacode.org/gf/project/jts/
www.joomla-hrvatska.com
Sigurnost Joomla! instalacije
9. Zaštitite bitne datoteke s .htaccess-om
<FilesMatch "\.(htaccess|htpasswd|ini|phps|log|sh|conf|configuration.php)$">Order allow,denyDeny from all</FilesMatch>
www.joomla-hrvatska.com
Sigurnost Joomla! instalacije
10. Nasmijte se... (ili zamislite) uz „10 Stupidest Administrator Tricks”
http://docs.joomla.org/Top_10_Stupidest_Administrator
_Tricks
www.joomla-hrvatska.com
... Jer sigurnosti nikad dosta ...Joššš...
Gdje ima još štiva ??http://docs.joomla.org/Security_Checklist_4_-_Joomla_Setuphttp://docs.joomla.org/Security_Checklist_5_-_Site_Administrationhttp://docs.joomla.org/Tutorial:How_to_make_your_Joomla_addon_more_secure_WIP
Što ako sam hackunt ???1) http://docs.joomla.org/Security_Checklist_72) http://docs.joomla.org/Security_Checklist_6_-_Site_Recovery
Moj novi homepage??http://developer.joomla.org/security.html
Hvala Vam !
Bernard [email protected]