kartal.24 Posted June 10, 2008 Share Posted June 10, 2008 ARKADAŞLAR SON GÜNLERDE SAVUNMA ÜZERİNE AnTi GüVeNLiK İSİMLİ BİR SAVUNMA DOSSYASI ÜZERİNDE ÇALIŞIYORUM VE PHP İLE YAZIYORUM SİZDEN İSTEGİM BANA BU KONUDA YARDIMÇI OLMANIZ EGER BANA SİTENİN SALDIRI YEMEMESİ İÇİN NE YAPMAM GEREKTİGİNİ VE KODLARINI VERİRSENİZ SEVİNİRİM ŞUAN ELİMSEKİ SİZTEM FLOOT VE PROX GİBİ BAZI ŞEYLERİ ENGELLİYOR AMA ELİMDEKİ SİZTEMİN DAHA VERİMLİ ÜST DÜZEY HALİNE GETİRMEYE ÇELISIYORUM KODLARI VE YAPMAM GEREKENLERİ BU BAŞLIK ALTINDA YAYINLARSANIZ VE BANA YARDIMÇI OLURSANIZ SEVİNİRİM ŞİMDİDEN SAGOLUN exit=> tamami buyuk harflerden ulasacak sekilde ilati yazmak yasaktir tekrarlamaniz durumunda uyari alacaksiniz Link to comment Share on other sites More sharing options...
Administrator sk8er_boi Posted June 10, 2008 Administrator Share Posted June 10, 2008 sistemdeki rootkitleri tarayabilir. mesela c99 veya r57 gibi trojan türevleri. Link to comment Share on other sites More sharing options...
kartal.24 Posted June 10, 2008 Author Share Posted June 10, 2008 dostum benim yaptıgım güvenlik sistemi suanda flood msdos ping ve ip adresi engelleme ve site açıgı arayanlara karsı komuma saglıya biliyor ve bunların hanfi browser ile siteme girdikleri felan kaydedile biliyor ama bana dahasıda lkazım admin panelinin daha 1 hafta önce bitirdim fakat tam bir güvenlik haline getirmeye çabalıyorum ve senin dedigin konuyuda tam anlayamadım işin aslı bu dediklerini ve gerisinide getire bilirmisin acaba rica etsem Link to comment Share on other sites More sharing options...
cumman Posted June 10, 2008 Share Posted June 10, 2008 Shell e karşıda birşeyle yaz bari. Link to comment Share on other sites More sharing options...
kartal.24 Posted June 10, 2008 Author Share Posted June 10, 2008 mysql güvenligi ile ilgili birşeyler yazdım ama işin aslı site içindeki dosyaların taranması ve shell konusu sanırım tam olarak kapatamadım bu ve diger konularda bildigin varsa paylaşa bilirmisin acaba bana kod lazım Link to comment Share on other sites More sharing options...
spyomren Posted June 14, 2008 Share Posted June 14, 2008 hali hazırda piyasadaki scriptleri incele hotscripts.com da ücretli ücretsiz birçok örnek bulabilirsin. Link to comment Share on other sites More sharing options...
kartal.24 Posted June 16, 2008 Author Share Posted June 16, 2008 benim dedigim yazılımların çogu ücretlidir yani parayla satılır ve bu tür şeylerin üçretsiz olanını bulmakta oldukca zordur bulunanlarda bir işle yaramaz zaten onun için ben kendim yazmaya başladım mve yardım istedim sizlerdende biliyorsanız ltam linkini koyun yoksada kodunu koyun ama baska bir olasılık sırf cvb yazmak için birşeyler yazmayın hitinizi arttırmak için Link to comment Share on other sites More sharing options...
Bilinchard Posted June 16, 2008 Share Posted June 16, 2008 Hocam öncelikle güncel açıkları araştırıp ona göre tedbir almalısın bence. (r57, c99, shell,exploit,rfi,vps,sniffer vs...) zira php'de güncel açık mutlaka çıkar. Link to comment Share on other sites More sharing options...
proxy Posted June 16, 2008 Share Posted June 16, 2008 sırf cvb yazmak için birşeyler yazmayın hitinizi arttırmak için Selam, öncelikle yukarıdaki cümlenizi yadırgadım. Çünkü bu sitede rep sistemi yoktur ve mesaj sayısı çok olanın rütbe atlaması gibi bir olay da yoktur. İnsanlar size yardımcı olmak istiyor tek dertleri bu Gelelim sorunuza, tam olarak istediğinizi karşılamasa da aşağıdaki kodların belli bir yardımı olabilir diye düşünüyorum. PHP İçin Güvenlik : "disable_functions" (Güvenlik) "disable_functions" ile serverınızda birçok fonksiyonun çalışmasını engelleyebilirsiniz. Bu sayede sitenize inject edilen scriptler, sheller için güvenliğinizi almış olursunuz. disable_functions = foreach, glob, openbasedir, posix_getpwuid, f_open, system,dl, array_compare, array_user_key_compare, passthru, cat, exec, popen, proc_close, proc_get_status, proc_nice, proc_open, escapeshellcmd, escapeshellarg, show_source, posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid,pconnect, link, symlink, fin, passthruexec, fileread, shell_exec, pcntl_exec, ini_alter, parse_ini_file, leak, apache_child_terminate, chown, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, allow_url_fopen, fpassthru, execute, shell, curl_exec, chgrp, stream_select, passthru, socket_select, socket_create, socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual[/CODE] [b]Eğer bu kadar fonsiyonu devre dışı bırakmak fazla geldiyse alttaki gibi de ayarlayabilirsiniz bu da güvenliğiniz için yeterlidir:[/b] [CODE]disable_functions = glob, posix_getpwuid, array_compare, array_user_key_compare, ini_restore, exec, proc_get_status, proc_nice, proc_open, allow_url_fopen, fin, pconnect, system, dl, passthruexec, shell_exec, proc_close, proc_get_status, chown, chgrp, escapeshellcmd, escapeshellarg, fileread, passthru, popen,curl_exec, shell, execute[/CODE] [b]"safe_mode" (Güvenlik)[/b] "Safe Mode" adından da anlaşılacağı gibi "Güvenli Mod" anlamına geliyor. "Safe Mode" genelde birçok serverda "Off" durumdadır ve bu da birçok tehlikeye davetiye çıkaran unsurlar arasında yer alır. "Güvenli Modu Açık" durumuna getirmek shellerin serverımızda istedikleri gibi dolaşmalarını, exploitlerin çalıştırılmasını ve komutların execute edilmelerini önler. Günümüzde "açık olan güvenlik modunu" kapalı duruma getiren scriptler mevcut fakat altta anlatılan önlemlerle bunun da önüne geçilebilir. Önerilen: [CODE]safe_mode = on[/CODE] [b]"register_globals" (Güvenlik ve Performans)[/b] php.ini dosyasında bulunan "post" "get" ile gönderilen değerlere kullanıcı adlarıyla ulaşılıp ulaşılamayacağını belirtir. Session, cookie değerlerini kendi adıyla tanımlayarak birer değişken olmasına neden olur. "Off" olarak ayarlanırsa bu gibi değerlere kendi tanımladığı şekilde ulaşılamaz. Önerilen: [CODE]register_globals = off[/CODE] [b]"allow_url_fopen" (Güvenlik)[/b] "allow_url_fopen" default olarak "açık" şeklinde gelir ve bunun "on" açık olması "file_get_contents()", "include()", "require()" fonksiyonlar uzaktaki dosyaları da işlemesine olanak tanır. Bunlara verilen bilgiler hiçbir kontrolden geçirilmezse kritik güvenlik açıklarını sebep olur. Önerilen: [CODE]allow_url_fopen = off[/CODE] [b]"allow_url_include" (Güvenlik)[/b] Bu değer kapalı yapıldığında "require" ve "include" ile uzaktan dosya çağırılması engellenmiş olur ve bu sayede büyük bir tehlikeden kurtulmuş olursunuz. Önerilen: [CODE]allow_url_include = off[/CODE] [b]"display_errors" (Güvenlik)[/b] Bu seçenek sitenizin çalışmasında oluşacak bir hatayı tarayıcıya yansıtıp yansıtmayacağını belirler. Yani siteniz için diyelim bir forum veya portal kullanıyorsunuz ve bunların çalışması esnasında genelde "Fatal error: Call to undefined function get_header() in /home/vhosts/site.com/index.php on line 37" şeklinde benzeri hata görülür. Bunların gözükmesini engellemek için bu değeri kapalı duruma getirmek gerekir zira kötü niyetli kişiler sitenizin serverda bulunan tam yolunu öğrenmiş olurlar. Önerilen: [CODE]display_errors = Off[/CODE] [b]"cgi.force_redirect" (Güvenlik)[/b] Bu değer normalde "on" olarak gelir ve Windows sunucularında IIS, OmniHTTPD gibi buralarda kapatılması gerekir. Kendi sunucunuz için bu durum yoksa değiştirmenize gerek yoktur. Önerilen: [CODE]cgi.force_redirect = on[/CODE] [b]"magic_quotes_gpc" (Güvenlik ve Performans)[/b] Magic Quotes işlemi GET/POST yöntemiyle gelen Cookie datasını otomatikman PHP script'e kaçırır. Önerilen bu değerin açık olmasıdır. Önerilen: [CODE]magic_quotes_gpc = on[/CODE] [b]"magic_quotes_runtime" (Güvenlik ve Performans)[/b] Magic quotes çalışma sürecinde data oluşturur, SQL'den exec()'den, vb. Önerilen: [CODE]magic_quotes_runtime = on[/CODE] [b]"magic_quotes_sybase" (Güvenlik ve Performans)[/b] Sybase-style magic quotes kullanır (Bunun yerine \' ' bununla '' kaçırır) Önerilen: [CODE]magic_quotes_sybase = on[/CODE] [b]"session.use_trans_sid" (Güvenlik)[/b] Bu ayarı dikkatli ayarlayın, kullanıcı emaile aktif oturum ID'si içeren URL gönderebilir Önerilen: [CODE]session.use_trans.sid = off[/CODE] [b]"open_basedir" (Güvenlik)[/b] Burada belirttiğiniz bir dizin haricindeki dosyaları veya klasörleri görmeleri olanaksızdır yani /home/vhosts/site.com/public_html/dosyalar/ sitenizde sadece dosyalar dizininin görüntülenmesini istiyorsanız böyle yapılır veya hem dosyalar hemde resimlerin bulunduğu yerin gözükmesi içinde böyle /home/vhosts/site.com/public_html/resimler: /home/vhosts/site.com/public_html/dosyalar/ bunlar haricindeki yerlerin görünmesi imkansızdır. /home/vhosts/site.com/public_html/resimler: /home/vhosts/site.com/public_html/dosyalar/ yazan yere görünmesini istediğiniz dizinleri belirtin. Önerilen: [CODE]open_basedir = "/home/vhosts/site.com/public_html/resimler:/home/vhosts/site.com/public_html/dosyalar/"[/CODE] [b]"safe_mode_exec_dir" (Güvenlik)[/b] Safe Mode açıkken bunu yaparsanız sadece belirttiğiniz dizinde işlem yapılmasına izin verirsiniz. Safe Mode kapalıyken burada belirttiğiniz dizinlerin dışında hiçbir dizinde işlem yapılamaz. "/home/vhosts/site.com/public_html/" yazan yere kendi dizininizi yazabilirsiniz. Böylece, diyelim "/etc" v.s dizininden herhangi birşey çalıştırmasına izin vermezsiniz. Önerilen: [CODE]/home/vhosts/site.com/public_html/"[/CODE] [b]Not:[/b] Safe Mode" yani "Güvenli Mod" açıkken yapılması tavsiye edilmez. Çünkü "safe mode" burada belirttiğiniz dizinde etkisiz kalacaktır. Güvenli Mod'un açık olması o dizinde işe yaramayacaktır. Güvenlik için, "Safe Mod" yani "Güvenli Mod" "off" kapalıyken kullanılması daha uygundur. [b]"asp_tags" (Güvenlik)[/b] ASP Style < % % > taglarına izin verilip verilmeyeceği belirlenir, kapalı duruma getirilmesi önerilir. Önerilen: [CODE]asp_tags=Off[/CODE] [b]"session.hash_function" (Güvenlik)[/b] Oturumlar için Hash Fonksiyonu 0: MD5 (128 bits) 1: SHA-1 (160 bits) Önerilen: [CODE]session.hash_function=0[/CODE] [b]"session.hash_bits_per_character" (Güvenlik)[/b] Hash çevirirken her karakterde kaç bit saklansın 4 bits: 0-9, a-f 5 bits: 0-9, a-v 6 bits: 0-9, a-z, A-Z, "-", "," Önerilen: [CODE]session.hash_bits_per_character = 5[/CODE] [b]"expose_php" (Güvenlik)[/b] "expose_php" açık ise kapalı yapılması önerilir. Aksi takdirde PHP ile yaptığınız herşeyde sunucu tarafından PHP sürümü gibi bilgiler gösterilir. Hackerlar, Lamerlar bu bilgileri severler. Bunları engellemek için "off" konumuna getiriniz. Önerilen: [CODE]expose_php = Off[/CODE] [b]"html_errors" (Güvenlik)[/b] Bu değerin açık olması durumunda PHP tıklanabilir hata mesajları üretecektir. Kapalı olması güvenlik için önerilir. Önerilen: [CODE]html_errors = Off[/CODE] [b]"max_execution_time" (Güvenlik)[/b] Scriptinizi maksimum uygulamayı yürütme zamanı mesela kullanıcı bir linke tıkladı ve bu linkin açılması belirtilen saniyeden fazla olursa sayfa sitenizin serverda bulunduğu tam yolu göstererek hata verir. Bu hataların gözükmesi güvenlik açısından sakıncalıdır. 300 saniye yazan yeri istediğiniz zaman ile değiştirebilirsiniz. Önerilen: [CODE]max_execution_time = 300[/CODE] [b]"max_input_time" (Güvenlik)[/b] Scriptinizin aynı şekilde bir dataya ulaşmak için istek yolladığında maksimum geçen zaman Önerilen: [CODE]max_input_time = 300[/CODE] [b]"ServerSignature" (Güvenlik ve Performans)[/b] "ServerSignature" sitenizde bulunmayan bir dosyanın bakılması durumunda bu sayfanın altında serverla ilgili bir bilgi yer alır ve bu da performansı düşürür ayrıca kötü niyetli kişiler serverla ilgili bir bilgi öğrenmiş olurlar. Önerilen: [CODE]ServerSignature = Off[/CODE] [b]"register_long_arrays" (Güvenlik ve Performans)[/b] Bu değerin "on" açık olması durumunda sisteminizde her script çalışmayacaktır install v.s yapmakta hatalarla karşılaşabilirsiniz ama iyi bir güvenlik ve performans için "off" duruma getirilir. Önerilen: [CODE]register_long_arrays = Off[/CODE] [b]"enable_dl" (Güvenlik)[/b] Bu değerin "off" kapalı olması gerekir aksi halde kişilerin sistemde php modüllerinde çalışma yapmasına olanak sağlar ve sistemde rahat dolaşmalarını sağlar güvenlik için kapalı olması gerekir. Önerilen: [CODE]enable_dll = Off[/CODE] [b]"file_uploads" (Güvenlik)[/b] Açık olursa eğer sunucuda dosya yüklenmesine izin verilmiş olur ve bu da ciddi bir güvenlik açığına neden olur. Eğer kullandığınız scriptden herhangi bir dosya yüklemeniz gerekmiyorsa mutlaka kapalı duruma getiriniz. Bu sayede sitenize herhangi bir shell, script inject edise bile kesinlikle dosya yüklenmesine izin vermez. Önerilen: [CODE]file_uploads = Off[/CODE] "safe_mode_gid" (Güvenlik) UID - GID kontrollerini sadece UID ile yapmasına izin verir böylece aynı grupta dosyalar bulunsa bile göremezler. Yani serverda bulunan diğer clientların scriptlerini v.s görmeleri engellenir. Önerilen: [CODE]safe_mode_gid = Off[/CODE] [b]Alıntıdır.[/b] [color=#C0C0C0].[/color] Link to comment Share on other sites More sharing options...
kartal.24 Posted June 17, 2008 Author Share Posted June 17, 2008 Hocam öncelikle güncel açıkları araştırıp ona göre tedbir almalısın bence. (r57, c99, shell,exploit,rfi,vps,sniffer vs...) zira php'de güncel açık mutlaka çıkar. senin yazdıklarından r57 ve c99 hariç hepsi kapalı ve çözümlenmiş durumda diye bilirim sana yani kişi szaten prox siteye giremiyor girmek için kapatmak zorunda kapata bile kalkanı aşması biraz zor aşşa bile adres herşey elime geçiyor yani bildiklerimi ve bulduklarımı kapattım aklıma gelmeyenleride sizlerden yardım alarak yapacagım Link to comment Share on other sites More sharing options...
kartal.24 Posted June 17, 2008 Author Share Posted June 17, 2008 Selam, öncelikle yukarıdaki cümlenizi yadırgadım. Çünkü bu sitede rep sistemi yoktur ve mesaj sayısı çok olanın rütbe atlaması gibi bir olay da yoktur. İnsanlar size yardımcı olmak istiyor tek dertleri bu Gelelim sorunuza, tam olarak istediğinizi karşılamasa da aşağıdaki kodların belli bir yardımı olabilir diye düşünüyorum. PHP İçin Güvenlik : "disable_functions" (Güvenlik) "disable_functions" ile serverınızda birçok fonksiyonun çalışmasını engelleyebilirsiniz. Bu sayede sitenize inject edilen scriptler, sheller için güvenliğinizi almış olursunuz. disable_functions = foreach, glob, openbasedir, posix_getpwuid, f_open, system,dl, array_compare, array_user_key_compare, passthru, cat, exec, popen, proc_close, proc_get_status, proc_nice, proc_open, escapeshellcmd, escapeshellarg, show_source, posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid,pconnect, link, symlink, fin, passthruexec, fileread, shell_exec, pcntl_exec, ini_alter, parse_ini_file, leak, apache_child_terminate, chown, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, allow_url_fopen, fpassthru, execute, shell, curl_exec, chgrp, stream_select, passthru, socket_select, socket_create, socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual[/CODE] [b]Eğer bu kadar fonsiyonu devre dışı bırakmak fazla geldiyse alttaki gibi de ayarlayabilirsiniz bu da güvenliğiniz için yeterlidir:[/b] [CODE]disable_functions = glob, posix_getpwuid, array_compare, array_user_key_compare, ini_restore, exec, proc_get_status, proc_nice, proc_open, allow_url_fopen, fin, pconnect, system, dl, passthruexec, shell_exec, proc_close, proc_get_status, chown, chgrp, escapeshellcmd, escapeshellarg, fileread, passthru, popen,curl_exec, shell, execute[/CODE] [b]"safe_mode" (Güvenlik)[/b] "Safe Mode" adından da anlaşılacağı gibi "Güvenli Mod" anlamına geliyor. "Safe Mode" genelde birçok serverda "Off" durumdadır ve bu da birçok tehlikeye davetiye çıkaran unsurlar arasında yer alır. "Güvenli Modu Açık" durumuna getirmek shellerin serverımızda istedikleri gibi dolaşmalarını, exploitlerin çalıştırılmasını ve komutların execute edilmelerini önler. Günümüzde "açık olan güvenlik modunu" kapalı duruma getiren scriptler mevcut fakat altta anlatılan önlemlerle bunun da önüne geçilebilir. Önerilen: [CODE]safe_mode = on[/CODE] [b]"register_globals" (Güvenlik ve Performans)[/b] php.ini dosyasında bulunan "post" "get" ile gönderilen değerlere kullanıcı adlarıyla ulaşılıp ulaşılamayacağını belirtir. Session, cookie değerlerini kendi adıyla tanımlayarak birer değişken olmasına neden olur. "Off" olarak ayarlanırsa bu gibi değerlere kendi tanımladığı şekilde ulaşılamaz. Önerilen: [CODE]register_globals = off[/CODE] [b]"allow_url_fopen" (Güvenlik)[/b] "allow_url_fopen" default olarak "açık" şeklinde gelir ve bunun "on" açık olması "file_get_contents()", "include()", "require()" fonksiyonlar uzaktaki dosyaları da işlemesine olanak tanır. Bunlara verilen bilgiler hiçbir kontrolden geçirilmezse kritik güvenlik açıklarını sebep olur. Önerilen: [CODE]allow_url_fopen = off[/CODE] [b]"allow_url_include" (Güvenlik)[/b] Bu değer kapalı yapıldığında "require" ve "include" ile uzaktan dosya çağırılması engellenmiş olur ve bu sayede büyük bir tehlikeden kurtulmuş olursunuz. Önerilen: [CODE]allow_url_include = off[/CODE] [b]"display_errors" (Güvenlik)[/b] Bu seçenek sitenizin çalışmasında oluşacak bir hatayı tarayıcıya yansıtıp yansıtmayacağını belirler. Yani siteniz için diyelim bir forum veya portal kullanıyorsunuz ve bunların çalışması esnasında genelde "Fatal error: Call to undefined function get_header() in /home/vhosts/site.com/index.php on line 37" şeklinde benzeri hata görülür. Bunların gözükmesini engellemek için bu değeri kapalı duruma getirmek gerekir zira kötü niyetli kişiler sitenizin serverda bulunan tam yolunu öğrenmiş olurlar. Önerilen: [CODE]display_errors = Off[/CODE] [b]"cgi.force_redirect" (Güvenlik)[/b] Bu değer normalde "on" olarak gelir ve Windows sunucularında IIS, OmniHTTPD gibi buralarda kapatılması gerekir. Kendi sunucunuz için bu durum yoksa değiştirmenize gerek yoktur. Önerilen: [CODE]cgi.force_redirect = on[/CODE] [b]"magic_quotes_gpc" (Güvenlik ve Performans)[/b] Magic Quotes işlemi GET/POST yöntemiyle gelen Cookie datasını otomatikman PHP script'e kaçırır. Önerilen bu değerin açık olmasıdır. Önerilen: [CODE]magic_quotes_gpc = on[/CODE] [b]"magic_quotes_runtime" (Güvenlik ve Performans)[/b] Magic quotes çalışma sürecinde data oluşturur, SQL'den exec()'den, vb. Önerilen: [CODE]magic_quotes_runtime = on[/CODE] [b]"magic_quotes_sybase" (Güvenlik ve Performans)[/b] Sybase-style magic quotes kullanır (Bunun yerine \' ' bununla '' kaçırır) Önerilen: [CODE]magic_quotes_sybase = on[/CODE] [b]"session.use_trans_sid" (Güvenlik)[/b] Bu ayarı dikkatli ayarlayın, kullanıcı emaile aktif oturum ID'si içeren URL gönderebilir Önerilen: [CODE]session.use_trans.sid = off[/CODE] [b]"open_basedir" (Güvenlik)[/b] Burada belirttiğiniz bir dizin haricindeki dosyaları veya klasörleri görmeleri olanaksızdır yani /home/vhosts/site.com/public_html/dosyalar/ sitenizde sadece dosyalar dizininin görüntülenmesini istiyorsanız böyle yapılır veya hem dosyalar hemde resimlerin bulunduğu yerin gözükmesi içinde böyle /home/vhosts/site.com/public_html/resimler: /home/vhosts/site.com/public_html/dosyalar/ bunlar haricindeki yerlerin görünmesi imkansızdır. /home/vhosts/site.com/public_html/resimler: /home/vhosts/site.com/public_html/dosyalar/ yazan yere görünmesini istediğiniz dizinleri belirtin. Önerilen: [CODE]open_basedir = "/home/vhosts/site.com/public_html/resimler:/home/vhosts/site.com/public_html/dosyalar/"[/CODE] [b]"safe_mode_exec_dir" (Güvenlik)[/b] Safe Mode açıkken bunu yaparsanız sadece belirttiğiniz dizinde işlem yapılmasına izin verirsiniz. Safe Mode kapalıyken burada belirttiğiniz dizinlerin dışında hiçbir dizinde işlem yapılamaz. "/home/vhosts/site.com/public_html/" yazan yere kendi dizininizi yazabilirsiniz. Böylece, diyelim "/etc" v.s dizininden herhangi birşey çalıştırmasına izin vermezsiniz. Önerilen: [CODE]/home/vhosts/site.com/public_html/"[/CODE] [b]Not:[/b] Safe Mode" yani "Güvenli Mod" açıkken yapılması tavsiye edilmez. Çünkü "safe mode" burada belirttiğiniz dizinde etkisiz kalacaktır. Güvenli Mod'un açık olması o dizinde işe yaramayacaktır. Güvenlik için, "Safe Mod" yani "Güvenli Mod" "off" kapalıyken kullanılması daha uygundur. [b]"asp_tags" (Güvenlik)[/b] ASP Style < % % > taglarına izin verilip verilmeyeceği belirlenir, kapalı duruma getirilmesi önerilir. Önerilen: [CODE]asp_tags=Off[/CODE] [b]"session.hash_function" (Güvenlik)[/b] Oturumlar için Hash Fonksiyonu 0: MD5 (128 bits) 1: SHA-1 (160 bits) Önerilen: [CODE]session.hash_function=0[/CODE] [b]"session.hash_bits_per_character" (Güvenlik)[/b] Hash çevirirken her karakterde kaç bit saklansın 4 bits: 0-9, a-f 5 bits: 0-9, a-v 6 bits: 0-9, a-z, A-Z, "-", "," Önerilen: [CODE]session.hash_bits_per_character = 5[/CODE] [b]"expose_php" (Güvenlik)[/b] "expose_php" açık ise kapalı yapılması önerilir. Aksi takdirde PHP ile yaptığınız herşeyde sunucu tarafından PHP sürümü gibi bilgiler gösterilir. Hackerlar, Lamerlar bu bilgileri severler. Bunları engellemek için "off" konumuna getiriniz. Önerilen: [CODE]expose_php = Off[/CODE] [b]"html_errors" (Güvenlik)[/b] Bu değerin açık olması durumunda PHP tıklanabilir hata mesajları üretecektir. Kapalı olması güvenlik için önerilir. Önerilen: [CODE]html_errors = Off[/CODE] [b]"max_execution_time" (Güvenlik)[/b] Scriptinizi maksimum uygulamayı yürütme zamanı mesela kullanıcı bir linke tıkladı ve bu linkin açılması belirtilen saniyeden fazla olursa sayfa sitenizin serverda bulunduğu tam yolu göstererek hata verir. Bu hataların gözükmesi güvenlik açısından sakıncalıdır. 300 saniye yazan yeri istediğiniz zaman ile değiştirebilirsiniz. Önerilen: [CODE]max_execution_time = 300[/CODE] [b]"max_input_time" (Güvenlik)[/b] Scriptinizin aynı şekilde bir dataya ulaşmak için istek yolladığında maksimum geçen zaman Önerilen: [CODE]max_input_time = 300[/CODE] [b]"ServerSignature" (Güvenlik ve Performans)[/b] "ServerSignature" sitenizde bulunmayan bir dosyanın bakılması durumunda bu sayfanın altında serverla ilgili bir bilgi yer alır ve bu da performansı düşürür ayrıca kötü niyetli kişiler serverla ilgili bir bilgi öğrenmiş olurlar. Önerilen: [CODE]ServerSignature = Off[/CODE] [b]"register_long_arrays" (Güvenlik ve Performans)[/b] Bu değerin "on" açık olması durumunda sisteminizde her script çalışmayacaktır install v.s yapmakta hatalarla karşılaşabilirsiniz ama iyi bir güvenlik ve performans için "off" duruma getirilir. Önerilen: [CODE]register_long_arrays = Off[/CODE] [b]"enable_dl" (Güvenlik)[/b] Bu değerin "off" kapalı olması gerekir aksi halde kişilerin sistemde php modüllerinde çalışma yapmasına olanak sağlar ve sistemde rahat dolaşmalarını sağlar güvenlik için kapalı olması gerekir. Önerilen: [CODE]enable_dll = Off[/CODE] [b]"file_uploads" (Güvenlik)[/b] Açık olursa eğer sunucuda dosya yüklenmesine izin verilmiş olur ve bu da ciddi bir güvenlik açığına neden olur. Eğer kullandığınız scriptden herhangi bir dosya yüklemeniz gerekmiyorsa mutlaka kapalı duruma getiriniz. Bu sayede sitenize herhangi bir shell, script inject edise bile kesinlikle dosya yüklenmesine izin vermez. Önerilen: [CODE]file_uploads = Off[/CODE] "safe_mode_gid" (Güvenlik) UID - GID kontrollerini sadece UID ile yapmasına izin verir böylece aynı grupta dosyalar bulunsa bile göremezler. Yani serverda bulunan diğer clientların scriptlerini v.s görmeleri engellenir. Önerilen: [CODE]safe_mode_gid = Off[/CODE] [b]Alıntıdır.[/b] [color=#C0C0C0].[/color] arkadaşım yardımın için teşekkür ederim ama ben bu yazdıklarının hepsini zaten uygulamıştım daha farklı çözümler lazım bana genede sagol ilgin için Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.