FTP csak TLS titkosítással

Az adatok védelme érdekében csak TLS alapú FTP kapcsolat engedélyezett. Ez azt jelenti, hogy sem a felhasználói név és jelszó, sem a feltöltött adatok nem "leshetők le" harmadik fél által, az adatátvitel teljesen biztonságos.

A beállításokról bővebben

SMTP kívülről csak SSL/TLS-el

A kliensprogrammal történő levélküldés kizárólag SSL/TLS titkosítással vehető igénybe.

Levelezés beállításai részletesen

Levélküldés PHP scriptből

A PHP kétféleképpen tud levelet küldeni: 1. a mail() függvény segítségével, vagy 2. direkt SMTP használatával.

  1. A mail() függvény használatakor a feladó vagy a címzett mezőnek tartalmaznia kell a weboldal elsődleges domainnevét!
  2. SMTP használatakor a hostév localhost, a port 225. A standard 25-ös porton a PHP számára nem enged levelet kiküldeni a rendszer.

Apache .htaccess korlátozások

A .htaccess file-ban tiltunk minden olyan szabályt, ami a szerver biztonsági beállításait megváltoztatja vagy befolyásolhatja.

Ezek a beállítások az esetek nagy részében az Options, valamint a PHP beállításait módosító (php_value, php_admin_value, php_flag stb.) direktívákkal kezdődő sorok.

Ezek alkalmazása esetén a szerver egységesen 500 - Internal Server Error üzenetet ad.

Néhány példa tiltott beállításra:

  • Options +ExecCGI
  • Options FollowSymLinks
  • php_admin_value ...
  • php_flag ...
  • stb...

Alapértelmezésben a szerveren az alábbi opciók engedélyezettek: SymlinksIfOwnerMatch, MultiViews.

PHP számára tiltott könyvtárak

Több elterjedt (CMS rendszerek ellen bevetett) támadás azt a módszert alkalmazza, hogy futtatható PHP scripteket tölt fel egy írható könyvtárba. Ha sikerült feltölteni a file-t, bármit tudnak futtatni a szerveren (SPAM küldés, botnet, stb)

A legközismertebb írható könyvtárakban ezért letiltottuk a PHP futtatását. Itt normál esetben egyáltalán nincsenek PHP file-ok, tehát nyugodtan megtehetjük.

Ilyen könyvtárak például: images, temp, tmp, cache, upload, uploads, stb.

PHP jogosultsági rendszer

A szerveren filerendszer-szintű védelmet alkalmazunk minden weboldalra. A védelem a UNIX felhasználói jogosultságokon alapul.

A lényege, hogy a weboldal file-jainak tulajdonosa (= FTP) eltér attól a felhasználótól, aki az oldal PHP kódját futtatja (= webszerver), így a weboldal nem tudja saját magát felülírni.

Ez a módszer a támadások legnagyobb részét megfogja. A módszerről bővebben

Előfordul azonban, hogy bizonyos könyvtárakat adattárolásra használ az oldal, tehát szükséges, hogy ezekbe írni tudjon. Ennek semmi akadálya: a PHP számára írási jogot kell adni az adott könyvtárakra.

A jogosultságokat legegyszerűbben az Adminisztrációs felületen (admin.3gteam.hu) a Weboldalak menüpont alatt, vagy az API-n keresztül tudjuk kezelni az Írható, a  Javít és az Install gombokkal.

Mi az az API?

Jogosultságok automatikus beállítása

  • Az  Írható gomb megnyomásával adhatjuk meg az írni kívánt könyvtárakat.
  • Figyelem! A funkció egyúttal letiltja a PHP file-ok direktben történő futtatását az írható könyvtárakban.
  • A beállítás akkor lép érvénybe, a Javít gombra kattintunk, helyreállítva ezzel a többi könyvtár jogosultságát is. (A funkció elérhető API-n keresztül)

Telepítés, frissítés

A weboldal telepítésekor, frissítésekor szükség lehet arra, hogy a teljes oldal írható legyen a PHP számára. Ilyenkor átmenetileg a teljes weboldal összes könyvtárát írhatóvá kell tenni:

  • Kattintsunk az Install gombra.
  • A jogosultságok átállítása azonnal megtörténik.
  • Javít gomb ikonja megváltozik jelezve ezzel, hogy írható (és ezáltal sebezhető) a weboldal.
  • Figyelem! Amint lehet, állítsuk helyre a jogosultságokat a  Javít gomb segítségével, különben komoly veszélynek tesszük ki a weboldalunkat.

(Mindkét funkció elérhető API-n keresztül)

Biztonsági tanácsok

A weboldalak saját adminisztrációs felülete lehetővé teszi kiegészítők, sablonok, stb telepítését - de csak akkor, ha bizonyos rendszermappákat írhatóvá teszünk. Ez a funkció nagyon kényelmes, azonban komoly veszélyeket rejt magában, miközben az oldal éles működéséhez nincs is rá szükség. Tehát érdemes ezeket a rendszermappákat irásvédetten tartani még akkor is, ha ez működésképtelenné teszi az oldal adminisztrációs felületének egyes - ritkán használt - funkcióit. Átmenetileg bármikor lehetőség van feloldani a korlátozást.