Joomla! turvalisuse tagamine

887 views

Published on

Joomla! saidi turvalisekt tegemine on põhjalik protsess ning mõüningase ülevaate selle tegemiseks saad siit esitlusest.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
887
On SlideShare
0
From Embeds
0
Number of Embeds
102
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Alla nende nõuete ei saa Joomlat isegi mitte paigaldada. Seega veendu, et teenusepakkujate serveris oleks vajalik tarkvara olemas.
  • Joomla! turvalisuse tagamine

    1. 1. Väike ülevaade erinevatest turvamisega seotud küsimustest Joomla! 1.5
    2. 2. Maskeerimine Turvalised harjumused Serveri seaded Joomla! seaded
    3. 3. Serveri seaded
    4. 4. Serveri valik Kõigil on omad eelistused, aga samas peaks olema ka siililegi selge, et kvaliteetne teenus maksab
    5. 5. Kaustade õigused <ul><li>PHP-failid: 644
    6. 6. Seadete failid: 666
    7. 7. Muud failid: 755 </li></ul><ul><li>Sageli kasutatakse rünnakutel just neid kahte kausta </li><ul><li>TMP-kaust
    8. 8. LOGs-kaust </li></ul></ul>
    9. 9. Administraatori kausta kaitsmine <ul><li>.htaccess
    10. 10. cPaneli võimalused
    11. 11. On olemas ka erinevaid Joomla lisaprogramme </li><ul><li>(testi eelnevalt testisaidil samas serveris) </li></ul></ul>
    12. 12. .htaccess ########## Begin - Rewrite rules to block out some common exploits # # Block out any script trying to set a mosConfig value through the URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR] # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] # Block out any script that includes a tag in URL RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR] # Block out any script that tries to set CONFIG_EXT (com_extcal2 issue) RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR] # Block out any script that tries to set sbp or sb_authorname via URL (simpleboard) RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR] RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] # ########## End - Rewrite rules to block out some common exploits
    13. 13. php.ini <ul><li>Pane ainult Frontendi ja Backendi juurkaustadesse
    14. 14. disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
    15. 15. open_basedir = /home/users/sait/public_html
    16. 16. allow_url_fopen = 0 </li></ul>
    17. 17. Failide üleslaadimised <ul><li>Kommenteerimised, foorumid, vormid
    18. 18. Luba ainult need, mille lisamine on tõesti vajalik </li><ul><li>Nt. pildifailid </li></ul><li>Keela skriptifailide üleslaadimine </li><ul><li>(.php, .php3, .php4, .php5, .phtml) </li></ul></ul>
    19. 19. Joomla! seaded
    20. 20. Super Admini konto <ul><li>Turvaline parool </li><ul><li>Suurtähed, väiketähed, numbrid jne ... </li></ul><li>Super Admini konto </li><ul><li>Loo uus Super Administraatori konto
    21. 21. Kustuta varasem adminikonto admin (ID=62) </li></ul></ul>http://www.eraser.ee/opetused/113-turvaline-super-administraatori-konto.html <ul><ul><li>Joomla! 1.6 on muutusi, aga nõuanne jääb praeguse seisuga kehtima </li></ul></ul>
    22. 22. Andmebaasi seaded <ul><li>Turvaline parool ja kasutajanimi
    23. 23. Eelliide </li><ul><li>Enneta probleemi installi ajal
    24. 24. Olemasoleva saidi puhul </li><ul><li>phpMyAdmin > Ekspordi
    25. 25. Oma lemmikredaktoris Replace
    26. 26. phpMyAdmin > Import </li></ul></ul></ul>
    27. 27. Lisaprogrammide turvalisus <ul><li>Lae alla ainult usaldusväärsest kohast
    28. 28. Mis tüüpi väljalase (alfa, beeta, RC, stabiilne)?
    29. 29. Mida näitab komponentide ajalugu?
    30. 30. Milline on klienditugi? </li><ul><li>Kui kiiresti lapitakse turvaauke? </li></ul><li>Üleüldine vigade hulk </li></ul>http://www.eraser.ee/artiklid/artiklid/134-kudias-valida-turvalist-lisaprogrammi.html
    31. 31. Lisaprogrammide taust <ul><li>Google
    32. 32. Haavatavate lisaprogrammide nimekiri </li><ul><li>http://docs.joomla.org/Vulnerable_Extensions_List </li></ul><li>Security Reason </li><ul><li>http://securityreason.com/exploit_alert/ </li></ul><li>Secunia </li><ul><li>http://secunia.com/advisories/search/ </li></ul><li>Vupen Security </li><ul><li>http://www.vupen.com/english/ </li></ul><li>MileOrm </li><ul><li>http://www.milw0rm.com/ </li></ul></ul>
    33. 33. Veel lisaprogrammidest <ul><li>Uusi lisaprogramme katseta testisaitidel
    34. 34. Eemalda lisad, mida sa ei kasuta </li><ul><li>Kehtib ka kujnduste kohta </li></ul><li>Joomla! omadest lülita välja need, mida pole vaja </li></ul>
    35. 35. Veel mõned mõtted <ul><li>Installikaust kustuta </li><ul><li>Ümbernimetamine pole piisavalt hea </li></ul><li>Eemalda lisad, mida sa ei kasuta </li><ul><li>Kehtib ka kujnduste kohta </li></ul><li>Joomla! omadest lülita välja need, mida pole vaja </li></ul>
    36. 36. Maskeerimine
    37. 37. Favicon ja SEF <ul><li>favicon.ico
    38. 38. Otsingumootori sõbralikud aadressid </li><ul><li>On ilus
    39. 39. Esimene asi, mille järgi tunned ära Joomlaga tehtud saidi
    40. 40. Näitab mugavalt ära ka komponendid </li></ul></ul>
    41. 41. META-info <ul><li>META-info
    42. 42. Asenda oma infoga
    43. 43. Sildi Generator peitmine või asendamine </li><ul><li>/libraries/joomla/document/html/renderer/head.php
    44. 44. $strHtml .= $tab.'<meta name=&quot;generator&quot; content=&quot;'.$document->getGenerator().'&quot; />'.$lnEnd; </li></ul></ul>
    45. 45. Peida versioonide info <ul><li>Komponendi seadetest
    46. 46. Otse koodist </li><ul><li>Veendu, et litsents seda lubab </li></ul></ul>
    47. 47. XML-failid <ul><li>Komponentide infot saab kätte XML-failidest </li><ul><li>nt. http://www.eraser.ee/administrator/components/com_rokbridge/manifest.xml </li></ul></ul>
    48. 48. XML-failide peitmine <ul><li>.htaccess </li></ul><Files ~ &quot;.xml$&quot;> Order allow, deny Deny from all Satisfy all </Files>
    49. 49. Turvalised harjumused
    50. 50. Varukoopiad <ul><li>Regulaarne varukoopia (ära looda hostingu pakkujale) </li><ul><li>Nii andmebaasist ...
    51. 51. … kui ka failidest </li></ul><li>Varukoopiad ka enne lisa(de) paigaldamist
    52. 52. Annab erinevate lisadega suures osas automatiseerida </li><ul><li>Veendu, et varukoopia poleks kõigile kättesaadav </li></ul></ul>
    53. 53. Uuendused <ul><li>Kontrolli uuenduste olemasolu </li><ul><li>Joomla koduleht
    54. 54. Lisaprogrammide kodulehed
    55. 55. Mõningatel siis ka sisseehitatud funktsioonina </li></ul><li>Kohati on ka siin abi lisaprogrammidest
    56. 56. Loodetavasti kergendab Joomla! 1.6 ka siin olukorda </li></ul>
    57. 57. Jälgi uudiseid <ul><li>Joomla! Turvalisuse Keskus </li><ul><li>http://developer.joomla.org/security.html </li></ul><li>Joomla! ametlik foorum (turvalisus) </li><ul><li>http://forum.joomla.org/viewforum.php?f=432 </li></ul><li>Eestikeelne info </li><ul><li>eraser.ee </li></ul></ul>

    ×