HowTo: CMSms Sicherheit ab Version 1.4.1

[vyana.violet]

Danke, für den Tip.  Aber überliste ich damit nicht die Providereinstellungen bzw. setze sie außer Kraft. Es handelt sie bei unserem Provider um die Belwü die ich jetzt nicht unbedingt überlisten möchte. Den laut Belwü  wurde diese Einstellung aus "Sicherheitsgründen" gemacht und dürfen/können somit nicht verändert werden.

Wenn es sich um meinen eigenen Server handeln würde, wäre es vielleicht einen Versuch wert....aber so?

[nockenfell]

Ich arbeite selber bei einem Provider. Und aus "unserer" Sicht stellen solche Modifikationen über .htaccess kein Problem dar. Vielmehr haben wir unseren Nutzern eine eigene php.ini zur Verfügung gestellt in der sie diese Anpassungen direkt im php.ini File anpassen können.

Grundsätzlich bin ich der Meinung, dass diese Modifikationen kein Problem darstellen. Das Problem ergibt sich aus unsicheren Scripten die der Benutzer verwendet. Zudem kann man Modifikationen über .htaccess unterbinden. Solange dies nicht unterbunden ist, werden die Modifikationen erlaubt oder zumindest gedultet. Deshalb empfehle ich dir: Probier es aus. Wenns läuft ist ok.

[vyana.violet]

Danke, die Info ist jetzt sehr interessant. Das probier ich dann morgen gleich mal aus und werde hier wieder Bericht erstatten.
Schließlich möchte ich unsere Schulhomepage so sicher wie möglich machen.

[TeXnik]

Schritt 1 (Stand 13.03.2008):

... und benutzt sinnvoller Weise nicht den Benutzernamen admin, administrator oder den Benutzernamen aus diesem bzw. anderen Foren. Ein einigermaßen sicheres Kennwort enthält Groß- und Kleinbuchstaben, Zahlen und eventuell sogar Sonderzeichen. Es sollte eine Länge von mindestens 8 Zeichen haben.

Nutzernamen werden z.B ersichtlich bei Newseinträgen u.ä., kann man das auch unterbinden?

[cyberman]

Entweder du nimmst die Variable $author ganz aus den News-Templates raus oder wenn du einen Hinweis auf den Urheber behalten willst, machst du $authorname draus ...

[Felli]

Ich habe bei mir gleich den gesamten /doc Ordner gelöscht.

Hm...

Aus den Infos zur Kommerziellen Lizenz:

Was dürfen Sie aufgrund dieser Exklusiv-Lizenz tun?

- die Datei COPYING.txt aus dem /doc-Verzeichnis des CMS made simple Archivs entfernen

Das bedeutet doch, ich darf das /doc Verzeichnis nicht einfach komplett löschen, wenn ich keine Lizenz erworben habe.
Oder darf ich doch?


Weshalb ich eigentlich hier bin:

Wie aktuell sind die Sicherheitstipps aus dem Eingangsposting, kann ich die so übernehmen?
Kann ich das Admin Verzeichnis auch erst nach der Installation umbenennen, oder geht das sogar erst nach der Installation?

[NaN]

Oder darf ich doch?

Gut, dass Du das nochmal ansprichst.
Eigentlich darf man nicht das gesamte doc-Verzeichnis löschen.
Ich habe stattdessen die Zugriffsberechtigungen des Doc-Verzeichnisses auf mindestens 444 gesetzt. (ähnlich wie bei der config.php)
Man könnte hier sogar alles auf 000 setzen.
Wird ja vom System nicht gebraucht.
Und beim Update werden Changelogs etc. erst garnicht auf den Server kopiert.
Probleme gibts dann nur, wenn sich mit einem Update etwas an der Lizenz ändern sollte.

Wie aktuell sind die Sicherheitstipps aus dem Eingangsposting, kann ich die so übernehmen?

Im Prinzip ja.
Das sind größtenteils so allgemeine Sicherheitshinweise, die generell für jeden Webspace gelten.
(also die Sache mit den Passwörtern, den .htaccess Dateien und den Zugriffsberechtigungen bestimmter Ordner und Dateien mit sensitiven Daten)
Am CMS selber hat sich ja in der Funktionsweise nicht so viel geändert.

Kann ich das Admin Verzeichnis auch erst nach der Installation umbenennen, oder geht das sogar erst nach der Installation?

Umbenennen kannst Du es jeder Zeit, auch schon vor der Installation.
Du musst aber so oder so nach der Installation nochmal in der config.php den Pfad zur Seitenadministration anpassen.
Die Config.php wird ja erst im letzten Schritt der Installation erstellt. Und da es (noch) keine Option gibt, bei der man schon bei der Installation den Pfad zum Admin-Verzeichnis angeben kann, wird dort immer der Standardpfad "admin" verwendet.

[Felli]

Hallo NaN

Dass ich die Config.php noch anpassen muss war mir klar.
Mir gings vielmehr darum zu erfahren, ob eine nachträgliche Änderung den Adminbereich evtl, auch nur in Teilen, unbrauchbar macht, ob es noch mehr zu berücksichtigen gibt.

Danke für die Auskunft, ich werd mich dann mal an die Umsetzung der Tipps machen.

[LeisureLarry]

Dieser Beitrag wird für CMSms ab v1.6.6 in einem neuen Beitrag fortgeführt:

http://forum.cmsmadesimple.org/viewtopi ... 67&t=38737

[mörml]

Hallo LeisureLarry,

war schon ganz fröhlich, dein Helferlein zu verwenden, aber nun kommt: Couldn't connect to host.
Woran kann das liegen?

Grundsätzliche Frage zum Thema News-Modul und login-Name = Verfassername: Ich bin mir nicht sicher, in welchem der vielen News-Templates ich $author ändern muss.
Kann mir bitte jemand den entscheidenden Tipp geben?

Herzlichen Dank und viele Grüße
mörml

[LeisureLarry]

Bitte ins Unterforum HowTo's verschieben und dann diesen Kommentar löschen. Danke.

[LeisureLarry]

@mörml:
Die Meldung bedeutet, daß mittels der Funktion mysql_connect und der normalen Datenbank-Zugangsdaten aus der config.php keine Verbindung zur DB aufgebaut werden konnte. Öffne die Datei prefixChanger.php mal mit einem Texteditor (zB Notepad++) und lösch in Zeile 41 das Zeichen "@" vor mysql_connect. Dann wird die Ausgabe des eigentlichen PHP-Fehlers nicht mehr unterdrückt. Eventuell lässt sich anhand dieser Fehlermeldung etwas sagen.

LeisureLarry (interiete.net)