Konfiguracja NukeSentinel
Wielu z Was zapewne ma kłopoty ze skonfigurowaniem tego dodatku tak, aby zabezpieczenie strony było jak najlepsze.
Poniżej są opisane funkcje, które mają największy wpływ na bezpieczeństwo naszego PHPNuke:
[NS Administration - General settings]
Help System Type - on MouseOver (wygodniejsze)
IP Lookup Site - tu korzystam z DNS Stuff
Force Nuke URL - wyłączyłem z racji, że nie każdy link musi mieć adres mojego Nuke’a treści
Display Link oraz Display Reason - tylko dla Admina
Site Switch - Enabled (czyli strona aktywna)
Default Page - Site reason
Block Proxies - Strong level (aby ktoś nie mógł zmaskować swojego IP poprzez proxy)
Auto Clear Block - off (gdyż nie wyświetlam bloków od sentinela)
DOS Protection - On (jak najnbardziej należy włączyć obronę przed atakami typu Denial Of Service)
Admin Auth - tu mam off ze względu, że mam ręcznie ustawioną autoryzację Apache’a dostępu do pliku admin.php, ale jeśli nie masz ustawionej autoryzacji ręcznie, to warto włączyć ta na HTTPAuth i podać adres do pliku htacces (w którym to ustawiaszs sposób autoryzacji - IP/login+hasło oraz co ma być chronione autoryzacją - jakieś pliki/foldery a także adres do pliku .htpsswrd, w którym powinien być login i hasło zahasowane w MD5).
Jeśli masz obsługę CGIAuth to można wybrać ten rodzaj i podac adres do .staccess i ustawić długość w Crypt Salt
Ip Tracking - wyłączyłem, ze względu, że śledzenia adresu IP tak na prawde mi nie będzie potrzebne, a tylko obciąża skrypt (więcej operacji)
reszta ustawień - nie mają znaczenia na bezpieczeństwo, a raczej na wygląd informacji o zabezpieczeniach
[NS Configuration - wszystkie typy]
Activate - Email, Block, Forward (co w razie zablokowania włamu zablokuje włąmującego, przekieruje go na adres wpisany w Forward To i Tobie wyślę maila z info o tym) - chyba, że poniżej opisałem innaczej
IP Block Type - Full IP adress (zablokuje konkretny adres, a nie zakres IP)
Email IP lookup - tu mam Off gdyz nie potrzebuję by w mailu wsyyłanym do mnie było IP (i tak będzie dodane do listy zablokowanych to będe mógł se tam zerknąć, a dzięki temu skrypt nie będzie musiał wykonywać dodatkowego sprawdzania IP)
Reason - nazywasz ten rodzaj blokowania (chodzi o to by nadac taką nazwę żebyś potem wiedział co za rodzaj włamania był jak dostaniesz info z ta nazwą)
Block Duration - Premanent (czyli zablokowanie IP na stałe - no chyba, że ręcznie sami odblokujemy)
- dodatkowo w poszczególnych typach:
[NS Configuration - ADMIN Blocker Settings]
Default Page - Admin
[NS Configuration - AUTHOR Blocker Settings]
Default Page - Author
itd…
reszta w tych opcjach na domyślnych.
[NS Configuration - Filters Blocker Settings]
Filtrowanie html podobne do tego w Nuke, ale dodatkowo zawiera możliwość blokowania/rejestrowania IP, z którego dane zapytanie poszło.
Tutaj sugeruje ustawić tylko przekierowanie i ewentualne zarejstrowanie IP. Bez blokowania, gdyż czasami sami możemy nieumyślnie przez przypadek wpisać jakiś zablokowany tag HTML i wtedy nas zablokuje.
[NS Configuration - Harvester Blocker Settings]
Jeśli się nie mylę, to jest to blokowanie tzw. stron opartych o Meta tagi innych stron. Czyli: ktoś wpisuje w wyszukiwarce jakieś słowo i wśród wyników jest strona będąca de facto wyszukiwarką na podstawie Meta tagów, a dopiero gdzieś na niej jest link do twojej strony. Często to podkrada pozycjonowanie w lepszych wyszukiwarkach.
[NS Configuration - Referer Blocker Settings]
Blokuje odwołania z innych stron do Twojej strony (HTTP Reffers z Nuke’a wyświetla te odwołania, a tu mogą one być dodatkowo blokowane na podstawie domeny/adresu z której to odwołanie nastąpiło. Zazwyczaj stosowane w odniesieniu do stron pornograficznych, ewentualnie do konkretnych stron hotlinkujących zawartośc Twojej strony.
[NS Configuration - Scripting Blocker Settings]
Analogiczne do Filters Blocker, tyle, że nie tagi HTML a scrypty. Analogiczne również są moje zalecenia co do ustawień.
[NS Configuration - Request Method Blocker Settings]
Tutaj w ostatniej pozycji możemy wpisac łańcuch znaków które będą blokowały IP (np Head)
[NS Configuration - String Blocker Settings]
Tu podobnie jak w wyższym, ale filtruje łąńcuch znaków w zapytaniu PHP (czyli m.in. też w adresie)
[Admin Auth List]
Warto jaknajbardziej dodać autoryzację konta admina.
[blocked IP/Range Menu - Add Blocked IP/Range]
Tutaj warto wprowadzić adresy/zakresy IP z tzw. czarnych list (takowe listy są dostepne na niektórych bardziej znanych stronach o Nuke).
[Protected IP Menu - Add Protected IP]
Jeśli masz stałe IP to warto tu wpiusać swoje stałe IP. Jeśli stroną zarządza kilku adminów, to ich IP też warto tu podać.
Na zakończenie dodam, że powinno się co jakiś czas robić skanowanie listy adminów (czy ktoś nie dopisał jakiegoś nieporządanego konta). Można to zrobić za pomocą: Scan for New Admins
Autor: *Suchy
Źródło: Polski Suport PHP Nuke