Absicherung des Boards phpbb3

[php-Frischling]

Hallo Fachleute,
nachdem die Einrichtung jetzt klappt, möchte ich mich gerne der Absicherung des Boards widmen.
Dazu habe ich schon folgendes gefunden:
https://www.phpbb.de/kb/sicher

Eventuell habt ihr auch die Möglichkeit, die config.php außerhalb des Web-Ordners abzulegen, so dass Sie nicht über eine URL zu erreichen ist (wenn Sie auch nicht per FTP zugänglich sein soll, so benötigt ihr in aller Regel die Unterstützung eures Providers). Dazu verschiebt ihr die Datei in einen Ordner außerhalb des Web-Ordners und erstellt im phpBB-Verzeichnis eine neue config.php mit folgendem Inhalt:

Code: Alles auswählen

<?php
    require('/directory/config.php');
?>

Dazu habe ich folgende Fragen: Wenn ich in der neu zu erstellenden config.php auf den Pfad verweise, in dem die originale config.php liegt, kommt doch ein Hacker sicherlich auch daran, weil der ja den Pfad aus der neuen config.php auslesen kann. Ich hätte auch gerne ein Beispiel, wo man die Datei beispielsweise hin verschieben kann. Könnte die theoretisch auch auf meinem Rechner liegen? Die wird doch nur für die Einstellungen des Forums benötigt, oder?
Denke ich jetzt vollkommen quer? Könnt ihr mir das bitte etwas einleuchtender erklären? Danke.

Ich bin Gründungsadmin. Ich muss mich ja mit meinen Zugangsdaten anmelden. Zusätzlich noch einmal, wenn ich in den Adminbereich möchte.
Wie kann ich ändern, das die Zugangsdaten für den Adminbereich nicht die gleichen wie für den Boardbereich sind?

Habt ihr sonst noch ein paar gute Sicherheitsvorschläge?
Das Board wird nur intern genutzt, Seo-Sachen und so etwas sind deshalb vollkommen außen vor zu lassen, das Board muss nicht von Suchmaschinen gefunden werden. Es soll ganz privat bleiben.
Vielleicht ist es so noch besser abzusichern.
Danke für eure kommenden Tipps.
Gruß
Frischling

[Miriam]

Zu allererst: Es gibt keine absolute Sicherheit.

Der Hinweis aus der Knowledgabase liest sich so:

Eventuell habt ihr auch die Möglichkeit, die config.php außerhalb des Web-Ordners abzulegen, so dass Sie nicht über eine URL zu erreichen ist

Und das ist auch schon der Kernsatz des ganzen -> Du sollst die Datei in ein Verzeichnis verschieben, das sich außerhalb der HTTP Zugriffs befindet und nur deshalb aufgerufen / eingebunden werden kann, weil das Script die lokalen Verzeichnisse auslesen darf. Der Hacker kann den Aufruf-Pfad zwar sehen, aber kommt da nicht ohne weiteres dran. Wenn er allerdings eine Datei auf Deinem Webspace plazieren kann, ist es mehr oder weniger Essig mit dieser "Sicherheit".

Bei FTP Zugriff kann das schon ganz anders aussehen.

Im Prinzip kannst Du die Datei auch bei Dir auf dem Rechner lokal bereitstellen. Das bringt imho außer Scherereien nichts an wirklicher Sicherheit.

Wenn es ein ganz und gar privates Board sein soll, dann solltest Du den Zugriff durch die (evtl. handvoll) User per HTACCESS beschränken / freigeben. Lies ggf. auch hier -> http://kortstock.de/WWW-Kurs/verzeichni ... ccess.html

Du kannst auch gern einen weiteren User anlegen, der adminstrativ eingeschränkt und im Forum aktiv ist. Mit dem Gründeraccount kannst Du dann die Adminstration managen.

[php-Frischling]

Danke für die Antwort

Zu allererst: Es gibt keine absolute Sicherheit.

Das ist mir schon klar. Jegliche Sicherheit im Netz ist nur relativ. Man kann es den Bösen nur schwerer oder leichter machen.

Der Hinweis aus der Knowledgabase liest sich so:

Eventuell habt ihr auch die Möglichkeit, die config.php außerhalb des Web-Ordners abzulegen, so dass Sie nicht über eine URL zu erreichen ist

Und das ist auch schon der Kernsatz des ganzen -> Du sollst die Datei in ein Verzeichnis verschieben, das sich außerhalb der HTTP Zugriffs befindet und nur deshalb aufgerufen / eingebunden werden kann, weil das Script die lokalen Verzeichnisse auslesen darf. Der Hacker kann den Aufruf-Pfad zwar sehen, aber kommt da nicht ohne weiteres dran. Wenn er allerdings eine Datei auf Deinem Webspace plazieren kann, ist es mehr oder weniger Essig mit dieser "Sicherheit".

Bei FTP Zugriff kann das schon ganz anders aussehen.

Soweit schon klar, aber auch auf die Gefahr hin, wie ein DAU zu erscheinen, eines ist mir noch nicht klar:
Gehen wir von einem Beispiel aus: Die Datei config.php liegt original in /Verzeichnis/meine Webseite/Forum/config.php ;
Verschiebe ich die Datei jetzt innerhalb des Verzeichnisses "Forum" oder sogar bis in "meine Webseite" irgendwo, oder wohin damit? Wenn aber dort der Pfad bekannt ist, habe ich doch immer einen HTTP-Zugriff darauf. Oder denke ich jetzt falsch?
Ich habe also Forum und Webseite in ein und demselben Root-Verzeichnis. Wo genau packe ich jetzt die config.php hin.
Mir ergießt sich noch nicht der logische Schluß der Sicherheit.
Oder ist es so gemeint, das ich die config.php vielleicht in ein Unterverzeichnis meiner Webseite packe und ein Hacker dann zwei Sachen knacken muss?
Bitte haltet mich nicht für blöd, aber ich versteh es einfach nicht.

[.......]

Wenn es ein ganz und gar privates Board sein soll, dann solltest Du den Zugriff durch die (evtl. handvoll) User per HTACCESS beschränken / freigeben. Lies ggf. auch hier -> http://kortstock.de/WWW-Kurs/verzeichni ... ccess.html

Am Anfang ginge das, auch wenns später mehr werden, könnte man ja nach und nach hinzufügen, aber mit einem evtl. Kennworttausch wäre es dann später mit viel Arbeit verbunden. Na, mal sehen.

Du kannst auch gern einen weiteren User anlegen, der adminstrativ eingeschränkt und im Forum aktiv ist. Mit dem Gründeraccount kannst Du dann die Adminstration managen.

Das werde ich auch so machen. Dementsprechend, werde ich die ersten Beiträge dann noch umkopieren, die ich schon mit Gründeraccount geschrieben habe. Du meinst das ja sicher so, das der Gründeradmin garnicht im Forum auftaucht, sondern nur administriert im verborgenen.

Danke und Gruß
Frischling

[LisaserstesForum]

Was ich bei allen unseren Forum noch gemacht habe ist das adm-Verzeichnis (und stk, wenn das Support Toolkit installiert ist) mit einem zusätzlichen Passwort durch .htaccess schützen.
Selbst wenn das Adminpasswort vom Forum mal geknackt werden würde, kommt man dann nicht ohne weiteres in den Adminbereich.
Das Passwort sollte natürlich ein anderes als das Adminpasswort vom Forum sein.

[php-Frischling]

Danke Lisa, gute Idee. Werde ich umsetzen.

Da muss ich nachaken, denn es klappt nicht.
Ich habe .htacces und .htpasswd erstellt und in den Ordner"adm" geladen.
Danach Browsercache geleert und auch den Boardcache.
Trotzdem fordert der Adminbereich kein zusätzliches PW an.
Kann mal jemand über die Dateien drüberschauen, ob darin etwas falsch ist, danke.

.htacces

Code: Alles auswählen

AuthUserFile /home/Verzeichnis/public_html/forum/adm/.htpasswd
AuthGroupFile /dev/null
AuthName "Ab hier nur mit Zugangsdaten"
AuthType Basic
<Limit GET>
require valid-user
</Limit>
Options -Indexes

.htpasswd

Code: Alles auswählen

Nutzername:hdgg58GbjfzCg6

Passwort mit Passwortgenerator erstellt. Ist kein verwendetes.

Allerdings öffnet sich nicht einmal die Passwortabfrage, ich komme normal mit den Adminpasswörtern in die Administration. Liegt da ein Fehler in der .htacces? Oder fehlt etwas darin?

Das komische daran ist, das es mit dieser .htaccess und .htpasswd (natürlich mit dem richtigen Pfad) bei einem anderen Verzeichnis meiner Webseite funktioniert.
Aber die Idee ist sooo gut, das ich sie unbedingt umsetzen möchte.
Was kann ich noch ändern, das es klappt?

[Miriam]

Nochmal zur webordner Problematik:

Verschiebe ich die Datei jetzt innerhalb des Verzeichnisses "Forum" oder sogar bis in "meine Webseite" irgendwo, oder wohin damit? Wenn aber dort der Pfad bekannt ist, habe ich doch immer einen HTTP-Zugriff darauf. Oder denke ich jetzt falsch?

Das denkst Du richtig, aber Du liest / interpretierst die Idee aus der Knowledgebase immer noch falsch. Denn:

Eventuell habt ihr auch die Möglichkeit, die config.php außerhalb des Web-Ordners abzulegen, so dass Sie nicht über eine URL zu erreichen ist

^^Ich habe die Kardinalbegriffe noch einmal unterstrichen.^^

Möglichkeiten (Abriß):

1. Deine Struktur sieht so aus ->
   • cgi-bin
     tmp
     log
     htdocs (dies hier stellt den Inhalt Deines Webordners dar. Aufzurufen bspw. mit ghttp://www.mein-webspace.org)
     • Forum
       mein_weblog
       meine_bilder
   Packe also die config .php in das Verzeichnis log oder cgi-bin, wenn Du das darfst / kannst. Oder erstelle ein Verzeichnis "oberhalb" von htdocs im Verzeichnisbaum und lege die config.php dort ab.
2. Deine Struktur sieht genauso aus, du darfst / kannst aber kein Verzeichnis oberhalb htdocs erstellen und kannst dort auch keine Daten händisch ablegen:
   • htdocs (dies hier stellt noch den Inhalt Deines Webordners dar. Aufzurufen bspw. mit http://www.mein-webspace.org)
     • Forum
       mein_weblog
       meine_bilder
   Baue die Struktur etwas um und lege in Deinem Webinterface für die Administration Deines Webspaces fest, dass die Domäne auf ein Verzeichnis innerhalb des htdocs umgelenkt wird.
   Bspw. so ->
   • htdocs
     • mein-webspace (dies hier stellt jetzt den Inhalt Deines Webordners dar. Aufzurufen bspw. mit http://www.mein-webspace.org)
       • Forum
         mein_weblog
         meine_bilder
   Jetzt kannst Du die config.php in htdocs oder in einem anderen Verzeichnis innerhalb htdocs ablegen. aber NICHT innerhalb "mein-webspace" oder dessen Unterverzeichnissen.

Informiere Dich gern per Suchmaschine über weitere Lösungsansätze.

Howgh.

[LisaserstesForum]

Heißt deine Datei .htacces oder .htaccess? Das könnte schon die Lösung sein.
Ansonsten, so sieht meine .htaccess aus:

Code: Alles auswählen

AuthName "Adminbereich"
AuthType Basic
AuthUserFile /home/www/web54/html/phpBB/adm/.htpasswd
require valid-user

[php-Frischling]

Hallo Lisa,
das ist jetzt aber Megapeinlich, so ein blöder Flüchtigkeitsfehler von mir .
Mit dem Doppel-s am Ende des Dateinamens klappts jetzt auch mit dem Passwortschutz.
Vielen Dank für eure Geduld.

Nachtrag:
So, mit dem umparken der config.php hat es jetzt auch funktioniert.
Ich denke, daß ich somit all eure Sicherheitsratschläge befolgt habe.
Nochmals Danke.

[LisaserstesForum]

Das muss dir nicht peinlich sein, du bist nicht der Erste und bestimmt auch nicht der Letzte, dem das passiert.

[LisaserstesForum]

Jetzt muss ich hier auch noch mal nachfragen.
Ich versuche gerade die config oberhalb des Webordners zu legen, habe sie in logs/ordner1/ordner2/ordner3/config.php drin.
Das Forum liegt in html/ordnerx/ordnery/ordnerz/.
Ist dann dieser config.php-Inhalt richtig?

Code: Alles auswählen

<?php
    require('/logs/ordner1/ordner2/ordner3/config.php');
?>

Denn so bekomme ich nur eine weiße Seite im Forum.