Admin Tools - rady a zkušenosti
18. říj 2016 18:24 #128816
Admin Tools - rady a zkušenosti vytvořeno vrtaak
Ahoj vespolek, mám čerstvě zakoupeno Admin Tools a prokousávám se nastavením a všema možnostma. Pokud by se někdo chtěl podělit o zkušenosti, nebo přispět radou, budu moc rád.
Je nějaký standardní postup, jak s Admin Tools pracovat? Já se během těch pár dní zatím dopracoval k následujícímu modelu, přičemž vycházím ze základního nastavení instalace + instrukcí na webu Akeeba.
Nainstaluju Admin Tools, nastavím přístup do administrace pouze pro povolené IP, zapíšu IP adresy pro administrátory do whitelistu, vygeneruju .htaccess a upravím v něm všechno co mi na webu zablokoval, nechám si vyjet Kontrolu změn souborů, prohlédnu a pokud nenajdu nic podezřelého, označím vše jako bezpečné.
Současně mi s tím ale vyvstaly otázky...
1. - Lze se do administrace přihlašovat jinak, než se zápisem IP do whitelistu? I když po prvním přihlášení vymažu dočasně blokované adresy, tak pokud se nenapíšu do whitelistu, Admin Tools mě do administrace nepustí.
2. - Je rozumné mít na webu umístěný odkaz do administrace? Nenapomáhám tím různým robotům?
3. - V nastavení webového firewallu je možnost použití tajného URL pro administrátory. Zkoušel jsem to, ale po nastavení mi pak fungují dvě adresy, tajná i ta původní.
4. - Je nutné použít Ochranu administrace heslem, když mám přístup do administrace vázaný na IP ve whitelistu?
5. - Výpis kontroly souborů mi hlásí množství potenciálně nebezpečných souborů, všechno to jsou součásti běžných a vyzkoušených rozšíření, takže je všechny označím jako bezpečné. Speciálně Event Gallery ve výpisu vychází jako 100% ohrožení, díky parametru eval v kódu, ale důvěřuju výrobci komponenty, takže taky označuju jako bezpečné. Má laik, respektive neprogramátor, šanci rozeznat ve výpisu opravdu nebezpečný soubor?
6. - Krátce po instalaci mi začnou chodit emaily s upozorněním Security exception. Je to normální? 5 - 10 emailů k jednomu webu za den. Když si toto upozorňování v nastavení vypnu, neprošvihnu tím něco?
7. - Nový soubor .htaccess vygenerovaný z Admin Tools mi zablokoval několik rozšíření, převážně týkajících se obrázků, galerie. Něco z toho jsem vyřešil sám podle návodu, s něčím mi obratem a ochotně poradili na Akeeba supportu. Netuším nakolik je to riskantní či není, povolovat výjimky v přístupu k souborům a složkám, potřebným pro tyto rozšíření. Na supportu se tvářili jako že používání složky cache pro ukládání náhledů fotek není zrovna košer. Ale opět vycházím z toho, že pokud je to běžné rozšíření z Joomla Extensions, mělo by to být bezpečné... (poslední věta před hacknutím webu
K dalším nástrojům v Admin Tools jsem se zatím neprokousal, popravdě ani nevím jak je použít, tak budu rád za zkušenosti a rady.
Předem díky!
Je nějaký standardní postup, jak s Admin Tools pracovat? Já se během těch pár dní zatím dopracoval k následujícímu modelu, přičemž vycházím ze základního nastavení instalace + instrukcí na webu Akeeba.
Nainstaluju Admin Tools, nastavím přístup do administrace pouze pro povolené IP, zapíšu IP adresy pro administrátory do whitelistu, vygeneruju .htaccess a upravím v něm všechno co mi na webu zablokoval, nechám si vyjet Kontrolu změn souborů, prohlédnu a pokud nenajdu nic podezřelého, označím vše jako bezpečné.
Současně mi s tím ale vyvstaly otázky...
1. - Lze se do administrace přihlašovat jinak, než se zápisem IP do whitelistu? I když po prvním přihlášení vymažu dočasně blokované adresy, tak pokud se nenapíšu do whitelistu, Admin Tools mě do administrace nepustí.
2. - Je rozumné mít na webu umístěný odkaz do administrace? Nenapomáhám tím různým robotům?
3. - V nastavení webového firewallu je možnost použití tajného URL pro administrátory. Zkoušel jsem to, ale po nastavení mi pak fungují dvě adresy, tajná i ta původní.
4. - Je nutné použít Ochranu administrace heslem, když mám přístup do administrace vázaný na IP ve whitelistu?
5. - Výpis kontroly souborů mi hlásí množství potenciálně nebezpečných souborů, všechno to jsou součásti běžných a vyzkoušených rozšíření, takže je všechny označím jako bezpečné. Speciálně Event Gallery ve výpisu vychází jako 100% ohrožení, díky parametru eval v kódu, ale důvěřuju výrobci komponenty, takže taky označuju jako bezpečné. Má laik, respektive neprogramátor, šanci rozeznat ve výpisu opravdu nebezpečný soubor?
6. - Krátce po instalaci mi začnou chodit emaily s upozorněním Security exception. Je to normální? 5 - 10 emailů k jednomu webu za den. Když si toto upozorňování v nastavení vypnu, neprošvihnu tím něco?
7. - Nový soubor .htaccess vygenerovaný z Admin Tools mi zablokoval několik rozšíření, převážně týkajících se obrázků, galerie. Něco z toho jsem vyřešil sám podle návodu, s něčím mi obratem a ochotně poradili na Akeeba supportu. Netuším nakolik je to riskantní či není, povolovat výjimky v přístupu k souborům a složkám, potřebným pro tyto rozšíření. Na supportu se tvářili jako že používání složky cache pro ukládání náhledů fotek není zrovna košer. Ale opět vycházím z toho, že pokud je to běžné rozšíření z Joomla Extensions, mělo by to být bezpečné... (poslední věta před hacknutím webu
K dalším nástrojům v Admin Tools jsem se zatím neprokousal, popravdě ani nevím jak je použít, tak budu rád za zkušenosti a rady.
Předem díky!
19. říj 2016 10:34 #128829
Odpověď od Cony
ad 1/ Možností je více, záleží na tom jak jste paranoidní 
Počínaje blokování administrace heslem, tajným parameterem (tj. aby se administrace spustila je třeba zadat např administrator?tajneheslo), vlastní adresou administrace (podobná funkčnost jako u tajného parametru), blokování času přístupu do administrace (tedy např. od půlnoci do 6 ráno tam nikdy nechodím), dvoufázové ověření atd... Osobně za nejdůležitější považuji nastavení "Blokování stálých útočníků" tj. např. po 3 výjimkách za minutu zablokovat na 15 minut a po třech takovýchto blokováních zablokovat IP na stálo. V kombinaci s "Považovat neúspěšné přihlášení za bezpečností výjimku" to zablokuje většinu pokusů o útok. Za zvážení pak stojí i možnost "Zakázat přihlášení super správců do veřejné části"
2/ Je to asi jedno, roboti opravdu obvykle jdou cíleně na adresu a vůbec neřeší jestli je tam Wordpress, Joomla nebo PHPMyAdmin, na druhou stranu tam odkazem dostanete i zvýdavce, který si řeknou, tak se zkusím přihlásit
3/ To je v pořádku, viz popis k tomu nastavení. Princip je takový, že pokud člověk zadá /tajneurl "odemkne" se mu adresa /administrator, a dál administruje již klasicky. Pokud zadá jen /administrator bez předchozího /tajneurl dojde k přesměrování na frontpage webu.
4/ Opět podle toho jak jste paranoidní
5/ Kontrola souborů je dobrá hlavně v tom, že Vám nahlásí změny. Tzn. pokud jí spustíte a najdete změněné soubory, kde jste si jistý, že jste nic neaktualizoval, je třeba zbystřit. Zda se jedná opravdu o škodlivý kód - na to už je asi potřeba opravdu nějakých znalostí, ale je to primárně vodítko. Nedocenitelné je to v okamžiku, kdy je web opravdu napaden - jednoduše si vyjedete napadené (změněné) soubory. Někdo si změny nechává kontrolovat automatem, a má tak každý den jistotu, že se nic neměnilo...
6/ Maily jsou vhodné hlavně zpočátku, aby jste si ověřil, že jste něco nepřekombinoval. Pak už je obvykle vypínám a jen kontroluji občas výpis v administraci. Dá se zapnout seskupování mailů, pak by jich mělo chodit míň.
7/ Čím míň výjimek tím samozřejmě líp. Obecně by rozšíření měla co nejvíce používat, právě kvůli bezpečnosti přístup přes framework. To že je rozšíření na JED ještě není zárukou toho, že je dobře napsané. Použití cache pro obrázky je trochu sporné. Hodně pluginů právě cache používá, už jen proto, že se dá z administrace pročistit kliknutím na tlačítko a nechat tak náhledy přegenerovat. Nicméně je pravda, že hodně lidí kolem Joomly tvrdí, že na náhledy by měl být adresář /media.
Počínaje blokování administrace heslem, tajným parameterem (tj. aby se administrace spustila je třeba zadat např administrator?tajneheslo), vlastní adresou administrace (podobná funkčnost jako u tajného parametru), blokování času přístupu do administrace (tedy např. od půlnoci do 6 ráno tam nikdy nechodím), dvoufázové ověření atd... Osobně za nejdůležitější považuji nastavení "Blokování stálých útočníků" tj. např. po 3 výjimkách za minutu zablokovat na 15 minut a po třech takovýchto blokováních zablokovat IP na stálo. V kombinaci s "Považovat neúspěšné přihlášení za bezpečností výjimku" to zablokuje většinu pokusů o útok. Za zvážení pak stojí i možnost "Zakázat přihlášení super správců do veřejné části"2/ Je to asi jedno, roboti opravdu obvykle jdou cíleně na adresu a vůbec neřeší jestli je tam Wordpress, Joomla nebo PHPMyAdmin, na druhou stranu tam odkazem dostanete i zvýdavce, který si řeknou, tak se zkusím přihlásit
3/ To je v pořádku, viz popis k tomu nastavení. Princip je takový, že pokud člověk zadá /tajneurl "odemkne" se mu adresa /administrator, a dál administruje již klasicky. Pokud zadá jen /administrator bez předchozího /tajneurl dojde k přesměrování na frontpage webu.
4/ Opět podle toho jak jste paranoidní
5/ Kontrola souborů je dobrá hlavně v tom, že Vám nahlásí změny. Tzn. pokud jí spustíte a najdete změněné soubory, kde jste si jistý, že jste nic neaktualizoval, je třeba zbystřit. Zda se jedná opravdu o škodlivý kód - na to už je asi potřeba opravdu nějakých znalostí, ale je to primárně vodítko. Nedocenitelné je to v okamžiku, kdy je web opravdu napaden - jednoduše si vyjedete napadené (změněné) soubory. Někdo si změny nechává kontrolovat automatem, a má tak každý den jistotu, že se nic neměnilo...
6/ Maily jsou vhodné hlavně zpočátku, aby jste si ověřil, že jste něco nepřekombinoval. Pak už je obvykle vypínám a jen kontroluji občas výpis v administraci. Dá se zapnout seskupování mailů, pak by jich mělo chodit míň.
7/ Čím míň výjimek tím samozřejmě líp. Obecně by rozšíření měla co nejvíce používat, právě kvůli bezpečnosti přístup přes framework. To že je rozšíření na JED ještě není zárukou toho, že je dobře napsané. Použití cache pro obrázky je trochu sporné. Hodně pluginů právě cache používá, už jen proto, že se dá z administrace pročistit kliknutím na tlačítko a nechat tak náhledy přegenerovat. Nicméně je pravda, že hodně lidí kolem Joomly tvrdí, že na náhledy by měl být adresář /media.
