Sicherheit
Aus Limbas Wiki
<-- zurück zur Hauptseite-Portale
Inhaltsverzeichnis |
.htaccess
Für minimale Sicherheit ist es notwendig die mitgelieferte ".htaccess.demo" im Verzeichnis ./dependent/ zu aktivieren (umbenennen in ".htaccess") oder den Inhalt in die httpd.conf zu übertragen. Prinzipiell gilt, daß alle Dateien außer den definierten nicht ausgeführt werden dürfen.
UPLOAD
Alle Datein im Verzeichnis ./UPLOAD/ sind mit einem md5 Namen umbenannt.
Das Verzeichnis ist für Lesezugriffe mit einer ".htaccess" Datei geschützt. Für einen Download einer Datei wird ein temporärer Symbolischer Link in das jeweilige Userverzeichnis erstellt.
order deny,allow deny from all
USER
Alle User-Verzeichnisse werden bei der Erstellung eines Users mit einer generierten ".htaccess / .htpasswd" Datei geschützt. Diese Datei wird jedesmal neu generiert wenn das Passwort geändert wird. Die automatische Neugenerierung der ".htaccess" Dateien aller User-Verzeichnisse über das Limbas admin-Tool (tools->system) kann nur geschehen, wenn die Option "clear_pass" in den Umgebungsvariablen eingestellt ist. Diese Option ist allerdings nur für fortgeschrittene Administratoren zu empfehlen.
admin
Zusätzlich kann das Verzeichnis ./admin/ nur für lokale Benutzer aktiviert werden. Dazu kann eine ".htaccess" Datei im admin Verzeichnis angelegt werden die nur bestimmten IP Adressen den Zugriff erlaubt.
order deny,allow deny from all allow from 192.168
php.ini
PHP sollte generell folgende Konfiguration besitzen:
- register_globals = off
- magic_quotes_gpc = off
