>>split: So mache ich mein Board sicher

[Dennis63]

Anfang des Themas: hier

Supper Liste! Respekt!

Und ich muß sagen ich selbst habe nicht alle Punkte davon schon gemacht. Einige erscheinen mir (für mich persönlich) auch nicht von Vorteil.

Aber ein Punkt ist dabei den ich nicht so ganz verstehe:

Trennt den Admin-Account von eurem normalen User-Account. Dabei habt ihr zwei Accounts, wobei ihr den ersten (mit normalen User-Rechten oder ggf. Moderator-Rechten) für die normale Arbeit verwendet. Für alle Admin-Aktivitäten verwendet ihr einen zweiten Account, der möglichst einen unscheinbaren Namen hat und nicht zum Posten verwendet wird. Dieser Account sollte auch nicht der sein, der bei der Installation automatisch angelegt wird.

Dazu Zwei Fragen:
(a) Warum soll ich das trennen
Ist das nur falls jemand an meinen eigenen PC kommt oder meinen eigenen eigenen PC hackt? Oder hat das noch andere Gründe?

(b) Warum soll ich nicht den Standart-Admin-Account nehmen?
Das verstehe ich gar nicht ...


Weitere Fragen:

(c) Sollte man das /db/ und das /includes/ verzeichnis nicht auch lieber mit einem Passwort schützen?
Zu Zeiten des 2.0.3 habe ich mal davon gelesen.

Grüße
Dennis

[Faser]

(a) Warum soll ich das trennen
Ist das nur falls jemand an meinen eigenen PC kommt oder meinen eigenen eigenen PC hackt? Oder hat das noch andere Gründe?

Es ist schwieriger, herauszufinden, wer Admin ist. Da du mit dem Admin-Account nicht postest, wird er nur in der Benutzerliste auftauchen und sonst nirgends.

(b) Warum soll ich nicht den Standart-Admin-Account nehmen?
Das verstehe ich gar nicht ...

einen zweiten Account, der möglichst einen unscheinbaren Namen hat und nicht zum Posten verwendet wird.

Der Standard-Admin-Account, 'admin', hat keinen unscheinbaren Namen, jeder weiß, wessen Passwort er herausfinden muss.

Weitere Fragen:

(c) Sollte man das /db/ und das /includes/ verzeichnis nicht auch lieber mit einem Passwort schützen?
Zu Zeiten des 2.0.3 habe ich mal davon gelesen.

Weiß nicht, ob phpBB damit klar kommt. Die /includes/page_header.php wird beispielsweise auf jeder Seite includet. Folglich müsste eigentlich auch auf jeder Site ein PW abgefragt werden, oder nicht?

Du solltest auf jeden Fall darauf achten, dass die leeren index.html's im Verzeichnis vorhanden sind, damit nicht jeder die Struktur des Verzeichnisses einsehen kann

[Dennis63]

Also ich habe die /db/ und /includes/ geschützt.
Der Passwortschutz .htaccess bezieht sich nicht aufs "includen" sondern nur auf Externe http-Zugriffe.

Also soll alles nur dazu da sein, den Admin-Account zu verschleiern... Ok das macht finde ich zwar nur bei kleinen Foren sinn, da man bei großen Foren doch öfters im ACP ist (Ich bin z.B. öfters drinne, da ich eigene Wartungsscripts dort eingebaut habe)

Aber das ist natürlich Geschmackssache.

Grüße
Dennis

[PhilippK]

Der Grund dafür, dass du nicht den standardmäßig angelegten Account nehmen soll(te)st, ist ganz einfach: der Standard-Account hat immer die User-ID 2. Damit wäre der Admin-Account auch ohne Posts schnell zu identifizieren. Wenn du's perfekt machen willst, solltest du diesen User als Standard-User laufen lassen.

Gruß, Philipp

BTW: kleine Ergänzung am Original-Text: der Admin-Account sollte bei diesem Doppelt-Modell ausgeblendet sein.

[SevenIsMy]

die config.php kann man etxra schutzen in den man im forum root verzeichnis eine .htaccess anlegt mit den inhalt

Code: Alles auswählen

<Files config.php>
Deny from all
</Files>

ähnlich kann man zugang zu modcp.php regelen, (leider laufen einige mod funktionen über die posting.php, aber sie muss für alle zugänglich sein) deswegen ist es nur ein halber schutz

der ganze .htacces schutz ist aber sinnloss wenn man sein hirn nicht einschaltet,
was würdet ihr z.b. machen wenn ihr Admin A seid und Admin B postet das er sein .htaccess passwort vergessen hat ...

[hmueller]

Hallo,

gute Info, sollte man aber auch in Anleitungs-Forum einstellen.

[Dennis63]

Hi

Stimmt. Ich wäre dafür mal eine eigene php-Datei zu erstellen, die sich nur mit Sicherheit betrifft.
Halt wo für jede Version (man könnte ma mit 2.0.5 oder mit 2.0.4 anfangen) alle Patches als übersicht stehen. Sowas gabs ja schon öfters für einzelne Versionen, nur das Problem was ich dabei sehe ist, daß sich immer neue Postings bilden und es so gerade für Anfänger total unübersichtlich ist.

Z.b. http://www.phpbb.de/security.php könnte man nehmen.

Könnte dann so aussehen:

Allgemein-Sicherheit
-----------------------
Tip-01 - Schützen von Verzeichnissen
Tip-02 - Nicht nutzen das Admin-Accounts

PHPBB 2.0.3
--------------
Sicherheitsrelevante Patches:
Patch S203-01 - Problem mit Highligt
Patch S203-02 - ...

Funktionsrelevante Patches:
Patch F203-01 - Problem mit Sommer/Winterzeit
Patch F203-02 - Problem mit Cookeis

PHPBB 2.0.4
..

PHPBB 2.0.5
--------------
Sicherheitsrelevante Patches:
Patch S205-01 - SQL Injection

Funktionsrelevante Patches:
Patch F205-01 - Problem mit Emails
Patch F205-02 - Problem (2) mit Email

usw... Was haltet ihr davon? Das würde dann in einigen Wochen eine richtig gute Übersicht für alle ergeben. Und wenn jeder Patch ne eigene Nummer hat kann sich jeder ganz leich merken/aufschreiben was alles schon drinne ist im Forum an Patches und was nicht.

Grüße
Dennis

[Mathias]

Das ist ein wirklich guter Thread.
ich kann den Autor wirklich NUR loben.
Ich führe auch ein phpBB Forum und muss auch immer auf sichereit achten.
Mit den Tipps kann man dies perfektionieren.

Danke.

[besucher]

hier noch ein tipp, was den admin account angeht:

es wäre auch gut, wenn man z.b. mit dem befehl
uniqid(''); erstellen, und das passwort z.b. auf dem eigene computer speichern, z.b. im passwort manager von norton. dann wäre dieser account schon sehr sicher. die chance, dass ein hacker dieses passwort knackt, ist wirklich gering.

[Henne]

Passwort garnicht speichern und im Kopf behalten ist noch sicherer...