Elxis CMS Forum
Ελληνικό Forum => Διαχείριση => Topic started by: kabbalah on December 11, 2006, 17:27:48
-
ηθελα να αλλαξω το φακελο "administrator" για ευνοιτους λογους σε κατι αλλο πιο ασφαλες.τι αλλο θα πρεπει να προσεξω να αλλαξω ωστε να μην υπαρξει προβλημα?
-
Μετά από έναν πρόχειρο έλεγχο, θα ήθελα να σε πληροφορήσω ότι υπάρχει αναφορά στον κατάλογο του administrator, σε 221 διαφορετικά αρχεία του Elxis.
Με άλλα λόγια, υπάρχουν 221 λόγοι να μην κάνεις αυτό που σκέφτεσαι!
Γιατί δεν χρησιμοποιείς ένα αρχείο .htacess για να προστατεύσεις τον κατάλογο;
-
Μην το κάνεις για κανένα λόγο αλλιώς θα αποκτήσεις ένα site που δεν θα δουλεύει. Το elxis έχει πολύ ασφαλή διαχείριση μην φοβάσαι. Αν πάρ' αυτά θες να λάβεις πρόσθετα μέτρα ασφαλείας βάλε htaccess όπως σου είπε ο Ηλίας ή όρισε ποιες ip μπορούν να έχουν πρόσβαση στη διαχείριση (ip allow) στον Defender (απαιτείται έκδοση elxis 2006.4)
[old attachment deleted by admin]
-
δεν εχω static ip ...δεν ειναι και πολυ ασφαλες ο καθενας να μπαινει στην login page του administrator..
-
Αν χρησιμοποιήσεις ένα αρχείο .htaccess, δεν θα μπαίνει ο καθένας...
-
Και να δει τη σελίδα σύνδεσης τι να λέει; Βάλε ένα ωραίο Login screen να γουστάρει κιόλας! Ειδικά στη διαχείριση δεν υπάρχει περίπτωση να μπει κανένας χωρίς να ξέρει username/password.
-
Για να χρησιμοποιεισω το htaccess δεν θα πρεπει να βαλω allow ip ?εγω δεν εχω static ip ομως ;) αυτο ειπα και πριν ..νταξει δεν μου φαινετε και τοσο σωστο να μπενει οποιος θελει εκει και να δοκιμαζει κωδικουσ!
-
Δεν υπάρχει ούτε μία περίπτωση στο δισεκατομμύριο να σου βρουν κωδικό έτσι. Εκτός αν έχεις username: admin, password: admin ή άλλα παρόμοια ;D
Έναν κωδικό με ανακατεμένο γράμματα (μικρά-κεφαλαία), αριθμούς και κάνα-δυό (ασφαλή) σύμβολα (πχ _) δεν υπάρχει ποτέ περίπτωση να τον βρει κανείς. Αυτού του είδους οι επιθέσεις δεν γίνονται έτσι, δεν υπάρχει περίπτωση να κάτσει κάποιος χάκερ να δοκιμάζει κωδικούς στη φόρμα σύνδεσης. Οι επιθέσεις αυτές γίνονται με την μέθοδο "dictionary attack" και γίνονται από απόμακρυσμένη τοποθεσία. Η μέθοδος είναι μη-αποτελεσματική σε δύσκολους κωδικούς. (επί τη ευκαιρία: Το Updiag ανιχνεύει αυτόματα αν χρησιμοποιείς εύκολο κωδικό στη Mysql ή το ftp και σου προτείνει να τον αλλάξεις ως συναγερμό ασφαλείας). Αν μάλιστα αντί για admin έχεις άλλο Username τότε θα πρέπει ο επιτιθέμενος να βρει και το username εκτός από τον κωδικό. Επίσης το elxis διαθέτει το FloodBlocker για αυτό ακριβώς το λόγο: για να καθιστά άχρηστα remote attack/scan scripts.
Οι πιο ψαγμένοι ακολουθούν άλλες μεθόδους, δεν επιτίθενται στη φόρμα αλλά προσπαθούν να υποκλέψουν τον κωδικό (αν αυτός είναι ο στόχος τους) με highjacking του session. Αν καταφέρουν αυτό θα έχουν ένα κρυπτογραφημένο κωδικό με md5. Το βάζουν σε ένα md5 cracker μηχάνημα και μετά από καμιά βδομάδα ίσως έχουν τον κωδικό σου. Με αυτή όμως τη μέθοδο δεν χρειάζεται να έχουν πρόσβαση στη διαχείριση.
-
Δεν υπάρχει ούτε μία περίπτωση στο δισεκατομμύριο να σου βρουν κωδικό έτσι. Εκτός αν έχεις username: admin, password: admin ή άλλα παρόμοια ;D
Πως μπορεί ο ήδη υπάρχον λογαριασμός με username: admin, να αλλάξει? Δηλαδή να κρατήσω τα δικαιώματα του admin όπως εξαρχής δημιουργηθήκανε, απλά να αλλάξω το username σε κάτι άλλο...?
-
κάνεις login με τα στοιχεία του admin και στην αρχική σελίδα στη μέση περίπου θα δεις που γράφει Χρήστες σε σύνδεση
θα πατήσεις πάνω στο όνομα admin και θα σε πάει σε μια άλλη σελίδα που θα λέει Χρήστης: Επεξεργασία
εδώ μπορείς να αλλάξεις το όνομα τον κωδικό και το email
μετά τις αλλαγές να μην ξεχάσεις να πατήσεις το κουμπί Αποθήκευση
-
Το Username δεν αλλάζει για λόγους ασφαλείας/προστασίας/ταυτοποίησης χρήστη.
Μπορείς να κάνεις τα εξής:
1. Να το αλλάξεις κατευθείαν από το phpmyadmin
2. Να φτιάξεις ένα νέο υπέρ-διαχειριστή, να απενεργοποιήσεις το λογαριασμό του χρήστη admin και να χρησιμοποιείς του νέου υπέρ-διαχειριστή. Θα κάνει ότι ακριβώς και ο admin. Δεν χρειάζεται να πειράξεις permissions κλπ. Αφού ανήκει στον group των υπέρ-διαχειριστών παίρνει αυτομάτως όλα τα δικαιώματά τους. Η απενεργοποίηση του λογαριασμού admin συνίσταται σε ΟΛΑ τα site. Μην τον διαγράψετε (για να μην μπορεί κανείς άλλος να χρησιμοποιήσει το username admin), απλά κάντε τον ανενεργό.
-
Αν χρησιμοποιήσεις ένα αρχείο .htaccess, δεν θα μπαίνει ο καθένας...
Ηλία, ο Apache μετά από κάποια έκδοση δεν υποστηρίζει το .htaccess
-
Έψαξα αυτό που λες αλλά δεν βρήκα ακόμη κάποια αναφορά που να το επιβεβαιώνει.
Θα ήταν ευχής έργο αν μπορούσες να μας διαφωτήσεις περισσότερο, παραθέτοντας κάποιο σύνδεσμο προς σχετικό άρθρο.
-
Αυτό δεν ισχύει, το έψαξα και εγώ γιατί μου έκανε εντύπωση καθώς δεν είχα ξανά-ακούσει κάτι παρόμοιο.
Επίσης το htaccess είναι ένα χαρακτηριστικό δείγμα της δύναμης του apache και της ευκολίας να κάνεις κάποια πράγματα και θα μου φαινόταν πολύ περίεργο αν καταργούνταν. Εδώ είναι το manual του τελευταίου apache που υπάρχει (έκδοση 2.2.44) και υποστηρίζει κανονικά htaccess:
http://httpd.apache.org/docs/2.2/howto/htaccess.html
-
Εγώ έχω φάει τον τόπο όλο και δεν βρίσκω τέτοια πληροφόρηση. Εάν και θεωρείτε αδιανόητο να σταμάταγε κάτι τέτοιο. Σας ευχαριστώ και τους δύο.
Μόλις ανοίξαν οι ασκοί του Αιώλου :D