So mache ich mein Board sicher

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
PhilippK
Vorstand
Vorstand
Beiträge: 14615
Registriert: 13.08.2002 14:10
Wohnort: Stuttgart
Kontaktdaten:

So mache ich mein Board sicher

Beitragvon PhilippK » 15.08.2003 21:48

Wenn man ein Board eingerichtet hat, freut man sich, wenn es läuft. Dieser Beitrag soll ein paar Tipps geben, wie ihr dazu beitragen könnt, dass euer Board auch lange läuft und nicht irgendwann Opfer von Hackangriffen oder dergleichen wird. Die Hinweise stellen sicherlich die Idealform dar - in wie weit ihr sie umsetzt, bleibt euch überlassen.

Das Umfeld
  • Wenn euer Board tatsächlich laufen soll, sucht euch einen seriösen Provider aus. Je wichtiger euch das Board ist, desto wichtiger sollte euch auch die Providerwahl sein. Zwar mag für manche ein Freehoster ausreichen, wenn es allerdings um Fragen wie Verfügbarkeit oder Backups geht, bietet euch ein kommerzieller Provider deutlich mehr. Ggf. könnt ihr auch Verträge abschließen, die euch eine Verfügbarkeit garantieren oder eine Hotline anbieten. Bei der Suche nach dem passenden Provider empfehlen wir einen Besuch der Webhostlist.
  • Auch eine wichtige Frage ist, wer Zugriff auf euer Board erhält: also die Frage der Moderatoren und Administratoren. Vor allem die Zahl der Administratoren solltet ihr klein halten und auf Personen begrenzen, zu denen ihr ein entsprechendes Vertrauen habt. Gleiches gilt - wenn auch in geringerem Ausmaß - für die Moderatoren. Wenn euch einer einfach so fragt, ob er Moderator oder Admin werden kann, solltet ihr das zumindest kritisch begutachten.
Die Installation
  • Verwendet die aktuelle Version der Forensoftware und führt ggf. Sicherheitsupdates durch. Die meisten Updates stopfen mehr oder minder große Sicherheitslöcher - und sollten daher auch installiert werden. Es kommt auch vor, dass das Web systematisch nach älteren Versionen durchsucht wird, um die Foren dann zu hacken.
  • Sichert das Admin-Verzeichnis mit einem Passwort. Wie ihr das genau macht, könnt ihr bei eurem Provider erfahren. Bei Appache-Servern geht es i.d.R. über die .htaccess-Datei. Das ganze schafft euch zusätzliche Sicherheit, da selbst mit einem Admin-Account alleine nicht auf den Admin-Bereich zugegriffen werden kann.
  • Die config.php muss nicht von außen zugänglich sein. Daher könnt ihr den Zugriff auf die Datei per .htaccess ausschließen - für PHP greift dieser Schutz nicht, so dass das Forum weiterhin funktioniert. Gleiches gilt auch für das Verzeichnis /db/, /includes/ und /language/.
  • Eventuell habt ihr auch die Möglichkeit, die config.php außerhalb des Web-Ordners abzulegen, so dass Sie nicht über eine URL zu erreichen ist (wenn Sie auch nicht per FTP zugänglich sein soll, so benötigt ihr in aller Regel die Unterstützung eures Providers). Dazu verschiebt ihr die Datei in einen Ordner außerhalb des Web-Ordners und erstellt im PHP-Verzeichnis eine neue config.php mit folgendem Inhalt:

    Code: Alles auswählen

    <?php
        require('/directory/config.php');
    ?>
    Dabei müsst ihr die Pfadangabe entsprechend anpassen.
  • Wenn dies nicht möglich ist, könnt ihr die config.php ggf. zusätzlich durch eine .htaccess schützen:

    Code: Alles auswählen

    <Files config.php>
    Deny from all
    </Files>
  • Mods: übertreibt es nicht mit vielen Mods. Passt auf, dass ihr beim Modden keine zusätzlichen Fehler einbaut. Die Mods werden i.d.R. auch nicht so genau kontrolliert wie die eigentliche Forensoftware und können daher noch viel eher ein Sicherheitsrisiko darstellen. Achtet darauf, dass ihr Mods aus vertrauenswürdiger Quelle verwendet und nicht jede Zeile Code einbaut, die euch so über den Weg läuft.
Die Organisation bzw. die Ordnung
  • Verwendet für die Rechte-Vergabe i.d.R. Gruppen. So behaltet ihr den Überblick, da ihr sehen könnt, wer auf welches Forum zugreifen darf und wer nicht. Die Vergabe von Einzelrechten führt schnell zu einem unübersichtlichen Chaos.
  • Haltet die Verzeichnisstruktur eures Forums sauber. In das Verzeichnis gehören die Dateien des Forums - und sonst nichts. Das hat zwar direkt keinen Einfluss auf die Sicherheit, macht euch die Arbeit aber deutlich einfacher und vermeidet Fehler.
  • Fertigt Backups eures Forums an und überprüft auch, ob sie vollständig sind (wenn ihr die Backup-Funktion des Forums verwendet, sollte die phpbb_words-Tabelle als letztes in der Sicherungsdatei stehen). Auch die Foren-Dateien gehören zum Backup. Selbst wenn euer Provider das evtl. auch machen sollte: nur ein selbst gemachtes Backup ist auch sicher gemacht. Dass das ganze bei professionellen Providern schief gehen kann, zeigen verschiedene Fälle der Vergangenheit. Und lieber ein Backup zu viel als eins zu wenig.
  • Verwendet die Account-Aktivierung. So wird der Anmeldeprozess etwas erschwert bzw. (bei Freischaltung durch den Admin) nur nach eurer Überprüfung möglich. Außerdem habt ihr im Ernstfall zumindest eine E-Mail-Adresse, die zum Zeitpunkt der Anmeldung gültig war.
Das Passwort
  • Auch wenn meist unbeliebt, so ist das Passwort von zentraler Bedeutung. Im Idealfall sollte das FTP-Passwort eures Providers, das der Datenbank, das des Zugriffsschutzes für das Admin-Verzeichnis (s.o.) und euer Benutzerpasswort verschieden sein. Die Passwörter sollten dabei so gewählt sein, dass man sie nicht leicht erraten kann und sollten auch nicht unbedingt dem Benutzernamen entsprechen. Je mehr Zeichen und je verschiedener die Zeichen, desto besser. Die Verwendung von Sonderzeichen macht die Sache für Hacker dann noch schwerer.
  • Ändert vor allem die Passwörter der Admin-Accounts regelmäßig.
  • Vermeidet bei den Admin-Accounts, dass ihr den automatischen Login verwendet. Vor allem wenn ihr auf einem fremden Rechner arbeitet: meldet euch nach der Benutzung des Forums wieder ab.
Was ihr sonst noch machen könnt
Die folgenden Punkte sind vor allem für die interessant, bei denen ein längerer Forenausfall größere Auswirkungen haben könnte.
  • Trennt den Admin-Account von eurem normalen User-Account. Dabei habt ihr zwei Accounts, wobei ihr den ersten (mit normalen User-Rechten oder ggf. Moderator-Rechten) für die normale Arbeit verwendet. Für alle Admin-Aktivitäten verwendet ihr einen zweiten Account, der möglichst einen unscheinbaren Namen hat und nicht zum Posten verwendet wird. Dieser Account sollte auch nicht der sein, der bei der Installation automatisch angelegt wird, da er sonst über die ID zu identifizieren ist. Der Online-Status dieses Admin-Accounts sollte natürlich auch deaktiviert sein.
  • Prüft die Tabelle phpbb_users regelmäßig auf Benutzer mit dem user_level '1'. Diese User haben Admin-Rechte. Sollte hier ein unbekannter User auftauchen, so sollten bei euch alle Alarmglocken läuten.
  • Übt den Ernstfall (das ist jetzt was für die ganz harten). Installiert euch das Forum lokal und spielt mögliche Szenarien durch (z.B. Rückspielen eines Backups, entfernen falscher Admin-Accounts, Überprüfung der gesetzten Rechte, ...).
  • Legt eine Liste mit den wichtigen Ansprechpartnern an. Auf der Liste sollten (neben phpbb.de :D) alle wichtigen Kontakte drauf stehen, die im Notfall hilfreich seien könnten, wie z.B. die Support-Nummer des Providers und die Vertragsdaten.

Zusätzlicher Schutz
  • Ein Wurm versuchte vor einiger Zeit, eine Sicherheitslücke auszunutzen, die bis phpBB 2.0.10 bestand. Um diesem Wurm einen zusätzlichen Riegel vorzuschieben und um eine zusätzliche Belastung des Boards durch den Wurm zu vermeiden, ist die Einrichtung einer .htaccess zu empfehlen. Auch wenn der Angriff derzeit nicht akut ist, kann diese Maßnahme nichts schaden.


Das ganze gibt euch zwar keine Garantie, dass alles problemlos läuft, aber ihr vermeidet mögliche Schäden und deren Wahrscheinlichkeit.

Gruß, Philipp

(Diskussion zu diesem Thema: hier)
Zuletzt geändert von PhilippK am 21.01.2004 19:35, insgesamt 2-mal geändert.

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“