Hallo Zusammen,
Situation:
Ich habe mir vor einiger Zeit phpbb3 in der lokalisierten deutschen Version heruntergeladen und auch auf meinem Webserver im Netz installieren können. Danach den Schnelleinstige durchgearbeitet und den Artikel Rechtevergabe in phpbb hier in der Doku ebenfalls. In diesem Forum nach Konfiguration gesucht und auch einige gute Tipps gefunden. Soweit, so gut.
Da phpbb sehr weit verbreitet ist, scheint es auch eine sehr große Angriffsfläche für automatisierte Angriffe zu bieten (Meldungen in Heise Security etc.).
Offene Fragen:
1) Welche Maßnahmen kann ich über die Basiskonfiguration/installation hinaus ergreifen, um automatisierten Anmelden und Spam im zukünftigen Forum möglichst gut zu unterbinden? Mit diesem Thema muß ich mich jetzt erstmals auseinandersetzen und würde mir "Anfängerfehler" gerne so gut es geht sparen.
2) Habe den Adminordner /adm mit eine .htacess geschützt, um den Zugriff auf die Adminebene weiter zu erschweren (Sinnvoll?), gibt es noch weitere Ordner, die man aus Sicherheitsgründen schützen sollte?
Danke vorab für Tips und Infos,
tuxracer
Grundkonfiguration: Fragen zur Sicherheit
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
zu 2)
Der Ordner includes dürfte keinerlei "von außen" aufrufbare Dateien haben und kann so auch zusätzlich geschützt werden(wenn er das nicht schon ist)
Es empfiehlt sich des weiteren immer 1-2 lokale Testkopien zu haben die immer immer auf dem selben Stand sind wie die "online" Version.
Sollte es einen Hack-Angriff geben kannst du immer noch zwischen letzter lokaler Version(noch nicht gehackt) und der online Version z.B. mit Windiff unterschiede herrausfinden, selbiges natürlich auch bei den DB-Backups.
Für die ganz harten könnte lokales SVN etwas sein, das gibt eine Übersicht über alle Änderungen.
Der Ordner includes dürfte keinerlei "von außen" aufrufbare Dateien haben und kann so auch zusätzlich geschützt werden(wenn er das nicht schon ist)
Es empfiehlt sich des weiteren immer 1-2 lokale Testkopien zu haben die immer immer auf dem selben Stand sind wie die "online" Version.
Sollte es einen Hack-Angriff geben kannst du immer noch zwischen letzter lokaler Version(noch nicht gehackt) und der online Version z.B. mit Windiff unterschiede herrausfinden, selbiges natürlich auch bei den DB-Backups.
Für die ganz harten könnte lokales SVN etwas sein, das gibt eine Übersicht über alle Änderungen.
Standart: Am besten mit beiden Beinen auf dem Boden
Standardmäßig antworte ich nicht auf PMs
Standardmäßig antworte ich nicht auf PMs
Schauenen wir doch mal bei Wikipedia nach:
http://de.wikipedia.org/wiki/SVN
Meist ist es aber so das man sein Forum seinen Wünschen anpasst (Code-technisch) sich davon ein Back-Up macht und dieses sicher aufbewahrt.
Datenbank-Backups sollten da schon regelmäßiger gemacht werden, ich mache diese ca. alle 100 Beiträge (Du siehst im ACP ja wie viele Beiträge du durchschnittlich pro Tag hast), mindestens jedoch wöchentlich, ich bewahre die Backups dann anschließend 30 Tage auf.
Ein gutes Tool für automatische Backups ist (meine Meinung)
www.mysqldumper.de
Ich lasse ein Cronscript die Perl-Datei ausführen.
http://de.wikipedia.org/wiki/SVN
Es ist primär zur Entwicklung gedacht, und auch nicht so ganz leicht einzurichten, und war von mir eher als "Wenn du total Sicherheitsfanatisch bist und zig Änderungen in einem längerem Zeitraum planst"* Satzung der Vereinten Nationen (nein)
* Slowenien (ISO 3166) (nein)
* Space Vehicle Number, die fortlaufende Nummer der GPS-Satelliten (nein, ist mir aber auch neu)
* Strukturierte Vererbungsnetze, eine Methode zur Wissensrepräsentation in der Künstlichen Intelligenz (nein)
* Subversion, ein Versionskontrollsystem primär für Programm-Quellcode(ja)
* Sozialversicherungsnummer (nein)
Meist ist es aber so das man sein Forum seinen Wünschen anpasst (Code-technisch) sich davon ein Back-Up macht und dieses sicher aufbewahrt.
Datenbank-Backups sollten da schon regelmäßiger gemacht werden, ich mache diese ca. alle 100 Beiträge (Du siehst im ACP ja wie viele Beiträge du durchschnittlich pro Tag hast), mindestens jedoch wöchentlich, ich bewahre die Backups dann anschließend 30 Tage auf.
Ein gutes Tool für automatische Backups ist (meine Meinung)
www.mysqldumper.de
Ich lasse ein Cronscript die Perl-Datei ausführen.
Standart: Am besten mit beiden Beinen auf dem Boden
Standardmäßig antworte ich nicht auf PMs
Standardmäßig antworte ich nicht auf PMs
