Spostamento file configuration.php

[santograz]

Sei sicuro che il tuo php.ini sia attivo? Siamo partiti dal principio che c'era già, non l'hai semplicemente creato tu.

Certo è che devi fare anche tu una scelta: proteggere con openbase_dir o spostando il configuration? Spostarlo per poi "aprire" la directory è un mezzo controsenso...

Hai parlato con l'amministratore del server?

[iccamar]

Spostarlo per poi "aprire" la directory è un mezzo controsenso...

In effetti, nella mia ignoranza, pensavo anche io la stessa cosa....
Il phpini lo abbiamo provato (parlo al plurale perché sfrutto bassamente mio figlio...) sia mettendo un file nella root, sia modificando quello sul server.

IN realtà la mia esigenza e' quella di aumentare la sicurezza del sito e, sempre per il fatto di non essere espserto, ho cercato di seguire le indicazioni contenute nele FAQ di sicurezza e nella Security checklist di Joomla.org. Col vecchi server condiviso non avevo avuto problemi e pensavo di rifare le stesse cose.

Intanto mi scarico  bambalam e vedo se fa al mio caso (sempre con l'aiuto di cui sopra) ed intanto ripiego su qualche "accessorio" trovato nella JED (stavo leggendo qualcosa su Eyesite e kareebu Secure).

Grazie ancora per i preziosi consigli (seguo sempre questa parte del forum con gli RSS e cerco di imparare anche se certe risposte sono.... terrorizzanti).
 

[santograz]

In effetti, mi sembrava un path da Fedora Core...

Sai che per avere un php.ini locale non basta crearne uno in una directory, ma bisogna anche abilitare lo scan di quella directory, da parte di PHP alla ricerca dello stesso, vero?

Sai anche che quando fai un cambiamento al php.ini "centrale" bisogna riavviare httpd, vero?

Stai tranquillo, tanto la sicurezza informatica non esiste, nenche quelli dell'FBI la fanno franca...

[iccamar]

Al riavvio (v. sopra) ci ero arrivato.
Per il resto, avevo usato lo stesso file php.ini che usavo in precedenza, ma avevo provato anche modifcando il php.ini  sul server.

Lo so che la sicurezza non esiste, ma cerco di seguire tutte le regole consigliate per stare un  po' più tranquillo....  

[mau_develop]

occhio se usi bambalam di tenerti una copia non compilata del file qualora non funzionasse, nn lho mai provato per joomla e soprattutto non l'ho mai provato su un singolo file di un framework,...i risultati potrebbero non essere quelli attesi... mi sa che sasera lo rispolvero un po' anch'io e ci gioco un po'

...comunque non andare in paranoia, una qualsiasi lfi o rfi su un componente renderebbe vana qualunque forma di sicurezza.

M.

EDIT: LEGGEVO ORA CHE ci potrebbero essere dei problemi col php5 ... azz se son vecchio

[iccamar]

Grazie, nessuna paranoia, solo un po' di prudenza (e preferisco non sapere cosa significa lfi o rfi.... )

[mau_develop]

(e preferisco non sapere cosa significa lfi o rfi...
----------------------------------------------------------------

e no... se vuoi difenderti devi sapere da che cosa ti difendi, altrimenti corri il rischio di creare facili passaggi al tuo nemico

M.

[iccamar]

A lllora ttendo spiegazioni: se faccio lfi si Google esce "La ferrovia italiana" 

[mmleoni]

altre due cose:
1. rimetti il codice suggerito dall'articolo citato. è difficile che apache sia in chroot, ma, se così è, inserendo il percorso assoluto come hai fatto tu non funzionerà.
2. verifica che non ci sia un php.ini per ogni vhost.

ciao,
marco

[iccamar]

Ho fatto varie prove e, per il momento, rinuncio.... Non sono all'altezza.
Rimedio provando ksecure e eyesite.
vediamo se funzionano

Grazie a tutti per la grande pazienza!