source code: ./othercms/slaed_cms_6.2_pro/admin/info/security-russian.html

Seditio Source

./othercms/slaed_cms_6.2_pro/admin/info/security-russian.html

[justify]Раздел «Безопасность» является мощным инструментом для защиты сайта от разного рода нападений, начиная от SQL-инъекций и заканчивая загрузкой сторонних скриптов в директорию сайта. Данный раздел поможет отследить, выявить и при необходимости заблокировать нападающего, а так же любого другого пользователя или посетителя проекта. 
 
[color=green][b]Вкладка «Главная»[/b][/color] 
Предоставляет статистику по пользованию сайтом. Для просмотра статистики нажмите на значение (Информация) возле соответствующего файла статистики, при этом информация отобразится ниже списка файлов статистики. 
Для скачивания информации в виде txt файла нажмите на значение (Скачать). 
Для очистки файла статистики нажмите на значение (Удаление объекта). 
Для просмотра пути хранения и названия файла статистики на сервере нажмите на иконку (i) слева от названия соответствующей статистики. 
 
[b][i][color=orangered]Статистика модифицированных файлов[/color][/i][/b] 
В зависимости от указанного в настройках времени (Вкладка «Конфигурации», параметр «Время проверки файлов 
на модификации, в минутах») система проверяет все системные файлы на удаление, изменения, добавления новых. 
Сбор данной статистики полезен в плане безопасности: можно отследить описанные выше действия с файлами. 
 
[b][i][color=orangered]Статистика динамических ошибок[/color][/i][/b] 
Отслеживает ошибки скриптов и сервера. Записывает подробную информацию (описание ошибки, скрипт, строка и время возникновения ошибки) в лог-файл статистики на сервере. 
 
[b][i][color=orangered]Статистика запрещённых действий[/color][/i][/b] 
Отслеживает запрещённые действия. Некоторые методы передачи информации нельзя использовать, но в свою очередь они не являются критическими в плане безопасности системы. Допустим использование HTML кода в адресной строке браузера при передаче запросов, или попытка встраивания JavaScripts, IFrame и т.д. Записывает подробную информацию (ip-адрес нападавшего, данные о его браузере, описание действия, время его совершения) в лог-файл статистики на сервере. 
 
[b][i][color=orangered]Статистика входов пользователей[/color][/i][/b] 
Отслеживает все входы пользователей на сайт. Фиксирует: 
[li] был ли вход успешным; 
[li] IP-адрес вошедшего; 
[li] Ник; 
[li] браузер; 
[li] дата и время. 
 
[b][i][color=orangered]Статистика всей поступающей информации[/color][/i][/b] 
Отслеживает все действия производимые посетителями на сайте (Глобальные переменные POST, GET, COOKIE, FILES, SESSION), в общем буквально всё, что пользователи делают, какую информацию запрашивают, что отсылают и т.д. 
Сбор статистики полезен в плане безопасности: можно детально отследить, что делал тот или иной IP на сайте. 
 
[b][i][color=orangered]Статистика нападений[/color][/i][/b] 
Основная информационная панель системы безопасности. Отслеживает нападающих и их действия. Записывает подробную информацию (ip-адрес нападавшего, данные о его браузере, описание атаки, время ее совершения) в лог-файл статистики на сервере. 
 
[b][i][color=orangered]Статистика входов администраторов[/color][/i][/b] 
Отслеживает все входы администраторов на сайт. Фиксирует: 
[li] был ли вход успешным; 
[li] IP-адрес вошедшего; 
[li] Ник; 
[li] браузер; 
[li] дата и время. 
 
[b][i][color=orangered]Статистика статистических ошибок[/color][/i][/b] 
Отслеживает ошибки сервера. Записывает подробную информацию (описание ошибки, ссылка и время возникновения ошибки) в лог-файл статистики на сервере. 
 
[b][i][color=orangered]Структура файлов[/color][/i][/b] 
Отображает всю структуру файлов в директории сайта: папки, содержащиеся в них файлы. 
Обновляется в зависимости от настройки: Время проверки файлов на 
модификации, в минутах (указывается во вкладке «Конфигурации»). 
 
[color=green][b]Вкладка «Блокирование»[/b][/color] 
Можно заблокировать любого посетителя проекта по IP Адресу или маске сети IP, по используемому браузеру, а так же по имени пользователя, зарегистрированного на сайте. Количество заблокированных посетителей неограниченно. 
 
[b][i][color=orangered]Заблокированные IP Адреса[/i][/b][/color] 
В данном подразделе расположен список заблокированных IP-адресов. Адреса записываются в виде 255.255.255.255. 
При необходимости, можно блокировать целые подсети. Используется следующая маска: 255.***.***.*** 
 
[b]Пример 1:[/b] 
IP: 77.245.112.0 
Маска сети: 255.255.***.*** 
Будет заблокирована вся маска, включительно до 77.245.***.*** 
 
Также можно заблокировать злоумышленника направлено по хэшу браузера. 
 
[b]Пример 2:[/b] 
Браузер: Opera/9.64 (Windows NT 6.0; U; ru) Presto/2.1.1 
Хэш браузера: 83897c6b59842b5554ba4e0d20bf201a 
 
Хэш можно увидеть в письмах, отправляемых по средствам обратной связи, а так же в профиле пользователя. 
При помощи блокировки по хэшу браузера можно направлено отсеять злоумышленника, при этом пользователи с его подсети не пострадают. 
 
[b]Для блокировки пользователя по IP необходимо заполнить[/b]: 
[li] [b][i]IP-адрес[/i][/b] – заполнять обязательно; 
[li] [b][i]Маска сети[/i][/b] – выбирается обязательно; 
[li] [b][i]Хэш браузера[/i][/b] – заполняется при необходимости; 
[li] [b][i]Время, указывается в сутках[/i][/b] – количество дней блокировки; 
[li] [b][i]Причина блокировки[/i][/b] – можно указать причину блокировки, которая будет показана пользователю при входе на сайт. 
 
[b][i][color=orangered]Заблокированные пользователи[/i][/b][/color] 
В данной секции расположен список заблокированных по «Ник» пользователей сайта. 
Для того чтобы заблокировать пользователя проекта по «Ник», необходимо заполнить: 
[li] [b][i]Ник[/i][/b] – заполняется обязательно; 
[li] [b][i]Время, указывается в сутках[/i][/b] – количество дней блокировки; 
[li] [b][i]Причина блокировки[/i][/b] – можно указать причину блокировки, которая будет показана пользователю при входе на сайт; 
[li] [b][i]Отправить уведомление на e-mail[/i][/b] – можно заполнить шаблон письма, которое после блокировки будет отправлено заблокированному пользователю. 
 
[color=green][b]Вкладка «Логин и пароль»[/b][/color] 
Для повышения безопасности можно установить дополнительные логин и пароль для входа в систему администрирования.Так же можно ограничить вход в систему администрирования проектом по определённому IP-адресу или маске сети IP. Данный способ защиты является самым оптимальным и исключает любой несанкционированный вход в панель администрирования. 
[li] [b][i]Сообщение при входе с некорректным IP[/i][/b] – сообщение, появляющееся при попытке входа в панель администрирования с недопустимого IP-адреса. 
[color=blue][b]Совет:[/color][/b] замените сообщение на что-нибудь нейтральное, чтобы не давать злоумышленнику дополнительной информации о защите. 
[li] [b][i]Сообщение при ошибочном вводе логина или пароля[/i][/b] – сообщение, появляющееся при вводе некорректного логина и/или пароля администратора. 
[color=blue][b]Совет:[/color][/b] замените сообщение на что-нибудь нейтральное, чтобы не давать злоумышленнику дополнительной информации о защите. 
[li] [b][i]Маска сети для входа в панель администратора[/i][/b] – диапазон IP-адресов, с которых разрешен доступ в систему администрирования. Если IP-адрес динамичный (модемное соединение) диапазон адресов можете узнать у своего провайдера(ов). 
[li] [b][i]Допустимые IP Адреса администратора[/i][/b] – в данном окне перечисляется список IP-адресов, с которых разрешен доступ в систему администрирования. Используется при соединениях с постоянным или динамичным IP-адресом. 
[li] [b][i]Дополнительные логин и пароль администратора[/i][/b] – дополнительная защита системы администрирования, исключающая любой несанкционированный доступ в панель управления сайтом. Авторизационные данные запрашиваются до ввода основного логина и пароля администратора. Этот метод называется HTTP-аутентификация. 
[hr][color=red][b][i]Внимание![/b] 
HTTP-аутентификация возможна только при запуске РНР как Apache-модуля или в режиме FastCGI с установленным модулем Mod Rewrite. Заметьте, эта функция не работает на Microsoft IIS-сервере и с CGI-версией PHP.[/i][/color][hr] 
[color=green][b]Вкладка «Конфигурации»[/b][/color] 
В данной вкладке устанавливаются основные настройки системы безопасности. Пояснения по некоторым настройкам: 
[li] [b][i]Максимальный размер файлов статистики, в байтах[/i][/b] – если установленный размер достигнут, то файл упаковывается в gZip архив, название которого генерируется в соответствии с датой упаковки. 
Создаётся новый файл. Актуально для всех файлов статистики, которые отображаются во вкладке «Главная». 
[li] [b][i]Промежуток времени копирования базы данных, в минутах[/i][/b] – система может создавать резервные копии базы данных в автоматическом 
режиме. Промежуток между созданиями копий БД указывается в минутах. Копия базы данных упаковывается в gZip-архив и получает название в соответствии с временем создания. 
[li] [b][i]Автоматическое копирование базы данных?[/i][/b] – создавать резервные копии БД или нет. 
[li] [b][i]Показывать сообщения об ошибках?[/i][/b] – отвечает за отображение системных ошибок PHP. Рекомендуем отключить (повышает уровень 
безопасности), если сайт работает в нормальном режиме. Если сайт работает в режиме отладки (допустим: тестирования, создания своих модулей, блоков), то рекомендуем включить отображение, чтобы отследить ошибки и их причины. При отключённом режиме ошибки не показываются, даже если они есть. 
[li] [b][i]Показывать сообщения об JavaScripts ошибках?[/i][/b] – по аналогии с ошибками PHP (см. пункт выше). 
[li] [b][i]Блокировать нападающих?[/i][/b] – пользователь или IP автоматически попадают в список заблокированных, после чего доступ на сайт невозможен. 
 
[color=green][b]Возможные проблемы и их решения[/b][/color] 
[li] Управление безопасностью может быть заблокировано в результате чрезмерного увеличения размеров лог-файлов. Рекомендуется периодически очищать журналы от устаревших сообщений. 
[li] Дополнительные логин и пароль не подходят – удалите дополнительные логин и пароль из файла /config/config_secure.php 
[li] Заблокирован доступ администратора по IP – удалите свой IP-адрес из файла /config/config_blocker.php.[/justify]