So mache ich mein Board sicher

Beschreibung: Hilfreiche Tipps das Board sicherer zu machen.

Kategorie: Lexikon

Link zu diesem Artikel: Alles auswählen

[url=https://www.phpbb.de/kb/viewarticle?a=89&sid=a6ef664be4e483459213b81590c32924]Knowledge Base - So mache ich mein Board sicher[/url]

Wenn man ein Board eingerichtet hat, freut man sich, wenn es läuft. Dieser Beitrag soll ein paar Tipps geben, wie ihr dazu beitragen könnt, dass euer Board auch lange läuft und nicht irgendwann Opfer von Hackangriffen oder dergleichen wird. Die Hinweise stellen sicherlich die Idealform dar - in wie weit ihr sie umsetzt, bleibt euch überlassen.

Das Umfeld

  • Wenn euer Board tatsächlich laufen soll, sucht euch einen seriösen Provider aus. Je wichtiger euch das Board ist, desto wichtiger sollte euch auch die Providerwahl sein. Zwar mag für manche ein Freehoster ausreichen, wenn es allerdings um Fragen wie Verfügbarkeit oder Backups geht, bietet euch ein kommerzieller Provider deutlich mehr. Ggf. könnt ihr auch Verträge abschließen, die euch eine Verfügbarkeit garantieren oder eine Hotline anbieten. Bitte beachtet, dass Fragen zur Providerwahl auf phpBB.de nicht erwünscht sind.
  • Auch eine wichtige Frage ist, wer Zugriff auf euer Board erhält: also die Frage der Moderatoren und Administratoren. Vor allem die Zahl der Administratoren solltet ihr klein halten und auf Personen begrenzen, zu denen ihr ein entsprechendes Vertrauen habt. Gleiches gilt - wenn auch in geringerem Ausmaß - für die Moderatoren. Wenn euch einer einfach so fragt, ob er Moderator oder Admin werden kann, solltet ihr das zumindest kritisch begutachten.

Die Installation

  • Verwendet die aktuelle Version der Forensoftware und führt ggf. Sicherheitsupdates durch. Viele Updates stopfen auch Sicherheitslöcher - und sollten daher auch installiert werden. Es kommt auch vor, dass das Web systematisch nach älteren Versionen durchsucht wird, um die Foren dann zu hacken. Dies gilt besonders für die nicht mehr unterstützte Version phpBB 2.
  • Sichert das Admin-Verzeichnis zusätzlich mit einem Passwort. Wie ihr das genau macht, könnt ihr bei eurem Provider erfahren. Bei Appache-Servern geht es i.d.R. über die .htaccess-Datei. Das ganze schafft euch zusätzliche Sicherheit, da selbst mit einem Admin-Account alleine nicht auf den Admin-Bereich zugegriffen werden kann.
  • Die config.php muss nicht von außen zugänglich sein. Daher könnt ihr den Zugriff auf die Datei per .htaccess ausschließen - für PHP greift dieser Schutz nicht, so dass das Forum weiterhin funktioniert. Gleiches gilt auch für die Verzeichnisse /includes/ und /language/. Seit phpBB 3.0.8 ist der Verzeichnisschutz für /includes/ bereits eingerichtet.
  • Eventuell habt ihr auch die Möglichkeit, die config.php außerhalb des Web-Ordners abzulegen, so dass Sie nicht über eine URL zu erreichen ist (wenn Sie auch nicht per FTP zugänglich sein soll, so benötigt ihr in aller Regel die Unterstützung eures Providers). Dazu verschiebt ihr die Datei in einen Ordner außerhalb des Web-Ordners und erstellt im phpBB-Verzeichnis eine neue config.php mit folgendem Inhalt:

    Code: Alles auswählen

    <?php
        require('/directory/config.php');
    ?>
    Dabei müsst ihr die Pfadangabe entsprechend anpassen.
  • Wenn dies nicht möglich ist, könnt ihr die config.php ggf. zusätzlich durch eine .htaccess schützen:

    Code: Alles auswählen

    <Files config.php> 
    Deny from all 
    </Files>
  • Mods: übertreibt es nicht mit vielen Mods. Passt auf, dass ihr beim Modden keine zusätzlichen Fehler einbaut. Die Mods werden i.d.R. auch nicht so genau kontrolliert wie die eigentliche Forensoftware und können daher noch viel eher ein Sicherheitsrisiko darstellen. Achtet darauf, dass ihr Mods aus vertrauenswürdiger Quelle verwendet und nicht jede Zeile Code einbaut, die euch so über den Weg läuft.

Die Organisation bzw. die Ordnung

  • Verwendet für die Rechte-Vergabe i.d.R. Rollen und Gruppen (KB:rechtesystem). So behaltet ihr den Überblick, da ihr sehen könnt, wer auf welches Forum zugreifen darf und wer nicht. Hilfreich dabei ist auch das Verfolgen von Rechten. Die Vergabe von Einzelrechten hingegen führt schnell zu einem unübersichtlichen Chaos.
  • Haltet die Verzeichnisstruktur eures Forums sauber. In das Verzeichnis gehören die Dateien des Forums - und sonst nichts. Das hat zwar direkt keinen Einfluss auf die Sicherheit, macht euch die Arbeit aber deutlich einfacher und vermeidet Fehler.
  • Fertigt Backups eures Forums an und überprüft auch, ob sie vollständig sind. Auch die Foren-Dateien gehören zum Backup. Selbst wenn euer Provider das evtl. auch machen sollte: nur ein selbst gemachtes Backup ist auch sicher gemacht. Dass das ganze bei professionellen Providern schief gehen kann, zeigen verschiedene Fälle der Vergangenheit. Und lieber ein Backup zu viel als eins zu wenig.
  • Verwendet die Account-Aktivierung. So wird der Anmeldeprozess etwas erschwert bzw. (bei Freischaltung durch den Admin) nur nach eurer Überprüfung möglich. Außerdem habt ihr im Ernstfall zumindest eine E-Mail-Adresse, die zum Zeitpunkt der Anmeldung gültig war.

Das Passwort

Auch wenn meist unbeliebt, so ist das Passwort von zentraler Bedeutung. Im Idealfall sollte das FTP-Passwort eures Providers, das der Datenbank, das des Zugriffsschutzes für das Admin-Verzeichnis (s.o.) und euer Benutzerpasswort verschieden sein. Die Passwörter sollten dabei so gewählt sein, dass man sie nicht leicht erraten kann und sollten auch nicht dem Benutzernamen entsprechen:
  • Je mehr Zeichen und je verschiedener die Zeichen, desto besser, verwendet daher Groß- und Kleinbuchstaben sowie Zahlen. Die Verwendung von Sonderzeichen macht die Sache für Hacker dann noch schwerer.
  • Verwendet keine Passwörter, die sich in einem Wörterbuch finden lassen, diese sind besonders leicht zu knacken, auch Zahlenfolgen und andere beliebte Passwörter sind durchaus auch den Hackern bekannt.
  • Eine einfache Methode, gute, merkbare Passwörter zu erzeugen ist die Verwendung eines Passwortsatzes, von dem dann pro Wort nur ein Buchstabe (z.B. der Anfangsbuchstabe) oder ein Teil des Worts verwendet wird. Beispielsweise wird dann aus "phpBB.de hatte - Stand 27. November 2010 - mehr als 1 Millionen Beiträge!" das Passwort "ph-S27N2010-ma1MB!".
  • Ändert vor allem die Passwörter der Admin-Accounts regelmäßig.
  • Vermeidet bei den Admin-Accounts, dass ihr den automatischen Login verwendet. Vor allem wenn ihr auf einem fremden Rechner arbeitet: meldet euch nach der Benutzung des Forums wieder ab.

Was ihr sonst noch machen könnt

Die folgenden Punkte sind vor allem für die interessant, bei denen ein längerer Forenausfall größere Auswirkungen haben könnte.
  • Trennt den Admin-Account von eurem normalen User-Account. Dabei habt ihr zwei Accounts, wobei ihr den ersten (mit normalen User-Rechten oder ggf. Moderator-Rechten) für die normale Arbeit verwendet. Für alle Admin-Aktivitäten verwendet ihr einen zweiten Account, der möglichst einen unscheinbaren Namen hat und nicht zum Posten verwendet wird. Dieser Account sollte auch nicht der sein, der bei der Installation automatisch angelegt wird, da er sonst über die ID zu identifizieren ist. Der Nutzer sollte natürlich auch über die "Wer ist Online" Anzeige nicht als Admin zu identifizieren sein und daher als Hauptgruppe nicht zu den Administratoren gehören.
  • Prüft die Tabelle phpbb_users regelmäßig auf Benutzer mit dem user_type '3'. Diese User haben uneingeschränkte Admin (Gründer)-Rechte. Sollte hier ein unbekannter User auftauchen, so sollten bei euch alle Alarmglocken läuten.
  • Übt den Ernstfall (das ist jetzt was für die ganz harten). Installiert euch das Forum lokal und spielt mögliche Szenarien durch (z.B. Rückspielen eines Backups, entfernen falscher Admin-Accounts, Überprüfung der gesetzten Rechte, ...).
  • Legt eine Liste mit den wichtigen Ansprechpartnern an. Auf der Liste sollten (neben phpbb.de :D) alle wichtigen Kontakte drauf stehen, die im Notfall hilfreich seien könnten, wie z.B. die Support-Nummer des Providers und die Vertragsdaten.
Das ganze gibt euch zwar keine Garantie, dass alles problemlos läuft, aber ihr vermeidet mögliche Schäden und deren Wahrscheinlichkeit.