|
[請教]phpbb的檔案和目錄權限在哪能找到?
我翻了一下phpbb的檔案中,沒有發現能參考各目錄及檔案應有權限的資料,請問有人知道在哪裡能找得到嗎?
謝謝先。 |
|
Re: [請教]phpbb的檔案和目錄權限在哪能找到?
引用:
|
哈拉站長有沒有參考過 phpBB2 的安裝說明文件?
下載 phpBB2 的檔案解開後,有一個名稱為 docs 的目錄,裡頭有一個檔案 INSTALL.html。其中就有一段 8. Important (security related) post-Install tasks for all installation methods 不妨先參考一下。 |
引用:
|
引用:
通常在 Unix/Linux 底下,會有一個預設的權限,沒有特別提及,使用預設權限即可。 當然,使用者可以更動自己目錄下的每一個目錄的權限。不過,在 Unix/Linux 底下,通常都是假設使用者的權限,是預設值,而在這個預設值的條件下,使用者的安全,是受作業系統保障的,無須額外設定。如果使用者使用預設值而發生安全問題,這個責任是在作業系統本身,或是系統管理者,不在使用者。 因此,類似安裝 forum 之類的程式,如果沒有特別提及,無須更動目錄權限。 有些目錄權限還得看系統是怎麼設定的。譬如 Apache,Apache 啟動時,是以什麼樣的身分啟動,跟使用者是否屬於同一個 group,也會影響目錄權限的設定。MySQL 也是如此。這方面,就得請教系統管理者,只有他最清楚系統的環境設定。 PS. 如果 MySQL 是以 root 的身分啟動,而且該刪除的預設使用者沒有刪除,那麼,使用該 MySQL 的用戶,基本上,就是暴露在危險之中。而這方面,使用者根本使不上力,更改目錄權限也沒用。責任完全在系統管理者。 |
問題是,我上傳整個論壇目錄到虛擬主機時,為了安裝方便,都會開啟一些目錄的權限,以免安裝時一直出錯。
所以後來就搞不清楚什麼是什麼了 ~embarass: |
目錄預設是755 才是
需要寫入檔案的所在目錄才設 777 :D 話說回來, 如果檔案目錄權限沒設好就有漏洞 ~embarass: 是這樣嗎? ~what 那整台 window 都是漏洞, 因為 window 系統不用設 ~bluemad |
引用:
這樣就危險了... 。 最多就是,將原有目錄的檔案全部下載到硬碟,再全部上傳到虛擬主機,然後,依照安裝說明,更動應該更動的目錄或檔案權限,這樣就恢復成預設值了。 :D |
引用:
也有在 Windows 底下架設 CMS, forum, blog。不過,大概使用 Unix/Linux 先入為主的觀念使然,一些目錄權限,特別是 MySQL 跟 Apache 之類的,該怎麼辦,到現在還是有一點兒似懂非懂。 ~embarass: |
小弟的意思是想表示, 目錄和檔案權限就預設值就行了, 不用太刻意~
在 linux 裡文字檔要寫入必需設 666, cgi 要執行必須將檔案設定 755 而在 window 裡不用裡會這些阿, 直接將檔案丟上去~ cgi 就能跑了 也能直接寫入文字檔, 什麼都不用理會~ 所以太強調這個要把安全漏洞硬扯在一塊看的很嚴重的樣子, 似乎轉移焦點了~ |
Re: [請教]phpbb的檔案和目錄權限在哪能找到?
引用:
可能才有修正檔喔 |
引用:
當然,講細節,就扯遠了。 我只能說,目錄跟檔案權限的設定值,很重要。 :that is : |
引用:
引用:
不過有一點是比較安全的,這個資料夾的權限是設給ASPNET,這是一個系統服務帳號,所以密碼是系統自動產生,即使管理者也看不到。 檔案系統的【最基本原理】做任何事都要有權限,而這個權限是跟這帳號的。如果把一些重要的系統指令或是檔案權限設給Everyone,那就算是敞開大門讓人家偷。除非自己去改,否則以目前的技術,再爛的系統都不會有這種預設值。 |
了解了~ :D 之前網站丟在公司, 從我家 ftp 上去 和在自家架
都沒設過, 直接都可以寫入和執行的, 以為 window 不用設定 失禮了 ^^" |
引用:
只是如果有檔案存取的動作再需要。 小弟之前幫某家晶圓廠寫的網路硬碟也不用,因為用了3樣技術。 1.所有檔案編碼後塞到資料庫 2.不用預設帳號連接資料庫 3.資料庫連接字串寫在登錄檔中 |
大家對這個問題好像很好奇,
小弟自暴短處來解釋一下. 我們分三方面來說吧... 1.mysql , apache ... 等 deamon 不可用 root 權限, 如果是這方面的問題, hosting 公司真的要打屁股了. 2.應用程式: cgi, php , forum ...等等 ... 越是出名的程式越需要 Hacking Group 來幫忙. 當您有程式要發表時如 php, phpbb 等等, 就須請 Hacking Group 來幫忙一下, 看看有無 overflow 溢位問題等等... 當有一些函數產生不可預期的結果就會造成系統的漏洞... 可是這一部分牽涉很廣... OS 有可能, 硬體有可能, library 有可能, phpbb 程式有可能... 沒人能預知,也無重防範的... 只有勤加到支援網站申級到最新的版本... 3.個人使用習慣: 不要把上線的程式與測試的程式放在一起. 一個有規模的系統會有, a.發展team, b.測試team, c.Libary Team, Support Team 互相支援與合作才有一個完整的應用系統開發出來. 如果個人好奇愛玩,將發展中的系統也掛到一旁玩的話, 會自曝系統的洞,影響到正常的系統運作... 小弟一些經驗...各位大大見笑了... 結論: 1.找一家系統常作維護的 hosting 公司很重要 2.別玩一些來路不明的系統與程式,除非您知道其中的功能優缺點 3.提供的服務是經過完整的軟體開發流程的系統,不然打死也不要拿出來. PS: 以小弟所知... phpbb 說不上是很嚴謹的系統, 尤其有一些 Mod 更是如此... |
運匠大大,哪請問Linux系統的log如果不見了,大概是什麼原因?
|
Unix系統被入侵了...
有人使用 chown 改了使用者權限到 root 並把 /etc/log 中的資料殺了... |
引用:
|
引用:
再查看utmp跟wtmp等檔案 |
如果是這部分hacker 入侵
小弟認為有三方面 1.系統商的 kernel 升級偷懶... 2.phpbb,cpanel,php... 等應用系統有漏洞... 3.一般使用者習慣不好,自曝系統的洞,造成大家受害... |
引用:
2.不用 _[系統帳號]_也可以 chown 到 root 只要能破解root的密碼ㄛ 3.不破也可以,找程式讓系統 overflow ... unix系統的洞就出來了... |
成熟的駭客下手之前,不是都會考慮全身而退嗎?
找漏洞、搗蛋、消滅證據 把別人的網站搞掛並不難,但重點是要全身而退,否則任何人都可以發起阻斷式攻擊了,只要錢多,電腦多,網路多。 最重要的證據應該就是 Log了。 小弟離開Unix已經10年了,不知道目前這些架構是不是變了,也請各位高手不吝指教。 |
引用:
駭客 Hacker 黑客 Cracker 兩者不同ㄛ... |
引用:
|
一般手法就是查詢系統的版本,服務的種類,再設法從cgi或各種程式查看是否有漏洞,然後就設法從這個洞爬進來了,至於hacker每個都希望全身而退,改log刪log當然.bash_history等utmp wtmp等都是駭客退出前要解決的。
至於主機安裝,從限制root直接登入、wget rcp scp lynx限制權限、取消編譯程式執行權、關閉telnet服務、禁止顯示apache版本、secure tmp、以ssh登入並更改ssh埠號同時限制可ssh登入之IP來源,最好再加上root登入計送通知郵件到其他主機的功能等功能,期能使主機更安全。 |
引用:
|
引用:
直接安裝.無需去更改任何權限啊 安裝完後,僅需將images/avatars這個目錄改設在777即可 以供會員上傳自己的頭像 |
引用:
問個蠢問題,能不能將這個資料夾移到虛擬目錄外。小弟的程式都是這樣設計的! |
引用:
且原phpbb部份程式也要改,(會動更多了) ps:奇怪了,images/avatars內單純放圖而已,那來有"程式漏洞?" 除非是此目錄因權限全開,被上傳了後門程式?? (由此往上目錄前進) |
引用:
|
引用:
|
引用:
這是很多小小朋友,自稱駭客的小朋友愛玩的遊戲... 直接入侵站長的 ftp程式 . eg: cuteftp, ftprush , .... 上傳一支 cgi , php , perl ... 破壞使用者的目錄... 有些主機商就得背黑鍋... |
http://www.dreamweavermxsupport.com/...19&sid=120
把步奏1到4看清楚,應該就知道怎麼設定權限了。 |
引用:
當然,更不能去執行。 |
引用:
直接在虛擬目錄中放一個可寫入的資料夾是滿危險的。 |
V大,我的級數只到這... ~embarass:
只找程式可能的漏洞 系統...看無 ?:D |
被 Hack 多了就知道了... ?:D
|
引用:
哪小弟的虛擬主機版要改一下了,將檔案資料夾預設放到虛擬目錄資料夾裡面,如果主機支援多資料夾,再讓User自己移出去。 |
| 所有時間均為 +8。現在的時間是 11:31 PM。 |
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.