Moja Joomla u Divljinama Weba-Bernard Toplak

www.joomla-hrvatska.com

Moja Joomla! u divljinama weba

Joomla! Hrvatska vam predstavlja:

Sigurnost i stabilnost Joomla! instalacija


Vaš današnji prezenter:

Bernard Toplak

- vlasnik obrta „ORION”, Donji Kneginec, Varaždin www.orion-web.hr, www.federation-servers.com


Agenda

Vrste PHP načina rada

... i zbilja mislim da je to dovoljno za danas

Razlike između Windows i Linux datotečnih prava

... i još sigurnosnih savjeta

Kako saznati s kojom vi imate posla

Sigurnosna checklista

... i gdje još možete pronaći korisno štivo

7

6

5

4

3

2

1


... i zašto je to bitno za vas ...Vrste izvršavanja PHP-a

A

Kod instalacije morate koristiti 777 prava?

Kad uploadate slike ili datoteke putem Joomle – više ih ne možete izbrisati putem FTP-a?

... To znači da imate probleme s lošom konfiguracijom servera...


... i zašto je to bitno za vas ...Vrste izvršavanja PHP-a

Geeky: PHP je kompajliran kao neovisan CGI binary

Non-Geeky:PHP se izvršava se neovisno o Apacheu, te za svaki zahtjev mora kreirati novi proces

PHP-CGI / FastCGI / FCGI

Geeky: PHP je zapravo kompajliran kao Apache library, dakle PHP interpeter izvršava se kao dio Apache procesa

Non-Geeky:PHP je ovdje brz pošto je praktički dio Apache-a

Kao Apache modul (mod_php)

A B


Apache modul (mod_php)

• Apache efikasnije upravlja zahtjevima

• Nešto brže izvršavanje od CGI moda (ne uvijek!)

• Pod većim opterećenjem (teoretski) je stabilniji

PREDNOSTI NEDOSTATAK

• Veliki: izvršava se kao dio Apache procesa - dakle kao Apache UNIX korisnik

• Kako god se trudili, mod_php će se u određenom trenutku „overloadati” i postati nestabilan i srušiti Apache proces (redoviti restart)


PHP-CGI / PHP-FastCGI / mod_fcgid

• Velika: Sigurnost –PHP proces se izvršava pod ispravnim korisnikom

• Fleksibilnost – zbog sigurnosnih problema mod_php često ima isključene neke funkcije, što kod CGI moda ne treba

• FastCGI i mod_fcgid način rada su brzinom gotovo identični onoj kod mod_php

PREDNOSTI NEDOSTATAK

• GET varijable koje nisu regularne (?foo=bar) varijable ne rade bez mod_rewrite

• php direktive u .htaccess-u (php_include_dir /home/user;....) neće raditi.

• $_SERVER['SCRIPT_NAME'] varijabla vraća php.cgi datoteku umjesto imena vaše skripte

• Perzistentne konekcije na bazu ne rade (mysql_pconnect() otvara novu konekciju)


A. Zamoliti ljubazno support osoblje

B. Još bolje: zamoliti da vam daju uvid u ispis phpinfo() funkcije

Pa kako saznati na koji način PHP radi na (potencijalnom) serveru?

<?php phpinfo(); ?>






... poznatijim i kao „permissions”, permišni, CHMOD ...A što je s datotečnim pravima ???

Urbana legenda kaže da tu nema briga ali...Apache: u pravilu nema problema

IIS: u kombinaciji s Joomlom! zna biti vrlo „čangrizav” ...

Windows Server

Datoteke: 644 ili manjeMape: 755 ili manje(ako je PHP u CGI modu)

Datoteke: što manjeMape: što manje(ako je mod_php)

Linux / *NIX braća i sestre

A

http://www.joomlatutorials.com/joomla-tips-and-tricks/40-miscellaneous-joomla-tips/113-joomla-and-unix-file-permissions-explanation.htmlhttp://www.joomlatutorials.com/joomla-tips-and-tricks/40-miscellaneous-joomla-tips/112-joomla-and-windows-file-permissions-explanation.html


... da, da, naravno da ih ima...Prvo loše vijesti !

Ne postoji savršena sigurnost na webu !

Ne postoji samo jedan „pravi način” !

Ne postoji zamjena za iskustvo !

1

2

3


... Jer nije sve tako sivo ...A sada dobre vijesti !

1. I početnici mogu napraviti mnogo za svoju sigurnost...istražujte web/Joomla! Sigurnost, tražite pomoć na forumu...

2. Zbilja nije tako teško kao što se čini... Počnite učiti malo po malo, krenite s najbitnijim stvarima ...

3. Ako vas ipak „crackiraju” – budite pametni... detalje o napadu kojem ste žrtva dostavite Joomla! Security Task Forceu, ne objavljujte na forumu ...


Sigurnost Joomla! instalacije

1. Nadograđujte redovito i često- koristite najnoviju verziju Joomle! i komponenti



2. Izrađujte sigurnosne kopije redovito i često



3. Koristite siguran i pouzdan hosting - ne dajte da vas se zavara i navuće „unlimited XYZ”

- koristite hosting checklistu za provjeru gdje hostate:

http://docs.joomla.org/Security_Checklist_2_-_Hosting_and _Server _Setup

http://docs.joomla.org/How_do_you_choose_a_quality_hosting_provider%3F



4. Koristite pomoć zajednice, foruma - na sreću još postoje ljudi koji će uvijek rado pomoći



5. Deinstalirajte sve ekstenzije koje doista ne koristite - i svakako provjerite da se one koje koristite ne nalaze na popisu poznati nesigurnih ekstenzija:

http://docs.joomla.org/Vulnerable_Extensions_List

http://feeds.joomla.org/JoomlaSecurityVulnerableExtensions

http://docs.joomla.org/How_do_you_choose_secure_extensions%3F



6. Razvijajte lokalno, ne na serveru... VCS - kada napredujete pred vrata PHP-a, koristite IDE, Eclipse je često korišten, a uputa setupa je ovdje:

http://docs.joomla.org/Setting_up_your_workstation_for _Joomla!_development



7. Koristite li sigurnu „admin” lozinku ??? - ... ili „1234”, „abc123”, „asdf” ??

- minimalno 8 znakova, velika/mala slova i specialni znak

- SVAKAKO: promjenite korisničko ime „admin” u neko drugo – ne olakšavajte im da vam haknu samo lozinku



8. Instalirajte „Joomla! Tools Suite” - http://joomlacode.org/gf/project/jts/



9. Zaštitite bitne datoteke s .htaccess-om

<FilesMatch "\.(htaccess|htpasswd|ini|phps|log|sh|conf|configuration.php)$">Order allow,denyDeny from all</FilesMatch>



10. Nasmijte se... (ili zamislite) uz „10 Stupidest Administrator Tricks”

http://docs.joomla.org/Top_10_Stupidest_Administrator

_Tricks


... Jer sigurnosti nikad dosta ...Joššš...

Gdje ima još štiva ??http://docs.joomla.org/Security_Checklist_4_-_Joomla_Setuphttp://docs.joomla.org/Security_Checklist_5_-_Site_Administrationhttp://docs.joomla.org/Tutorial:How_to_make_your_Joomla_addon_more_secure_WIP

Što ako sam hackunt ???1) http://docs.joomla.org/Security_Checklist_72) http://docs.joomla.org/Security_Checklist_6_-_Site_Recovery

Moj novi homepage??http://developer.joomla.org/security.html

Hvala Vam !

Bernard [email protected]

Documents

Moja Joomla u Divljinama Weba-Bernard Toplak