GuardXT

[marcothemix]

Ciao,
ho torvato questo componente molto interessante, certo non fa miracoli ma per me che non sono un grandissimo esperto mi fà comodo, ha trovato ad esempio un grandissimo numero di file temporanei, e i permessi di cartelle e file setatti secondo lui in modo errato, e mi consiglia di fare come come un .htaccess per la cartella administrator e bloccare la modifica del file configuration.php

Volevo chiedervi dato che è in versione beta mi consigliate/sconsigliate di usarlo?
Usandolo potrebe causare danni?
O addirittura essendo in versione beta potrebbe essere proprio la causa di un attacco in quando magari non sicuro?

Grazie.

[mau_develop]

 ha trovato ad esempio un grandissimo numero di file temporanei   
---------------------------------------------------------------
...vabbè ma devi stare attento tu però, se trsferisci pure i file temporanei non c'è sicurezza che tenga... se li chiami direttamente quelli sono leggibili e se hai il temporaneo del configuration.ph ... hai fatto il disastro. Questi files vengono prodotti solo in locale non in remoto.

Volevo chiedervi dato che è in versione beta mi consigliate/sconsigliate di usarlo?
Usandolo potrebe causare danni?
O addirittura essendo in versione beta potrebbe essere proprio la causa di un attacco in quando magari non sicuro?
--------------------------------------------------------------
..vedi che alle domande sai risponderti benissimo da solo.'

perchè se hai una cosa sicura sei così in paranoia?
secondo me più ci smanacci e più metti a rischio tutto

M.

[marcothemix]

Hai indubbiamente sicuro, c'è un garnde staff che fa di tutto per rendere joomla sicuro al 100%, alla fine l'unica causa di insicurezza siamo solo noi utilizzatori, disintallerò il componente ma ricordandomi dei consigli che mi ha dato.

e per l'esattezza:
        No .htaccess file found in Admin path. The admin path should be password protected.    
   Configuration file is writeable    Change now!
   4887 Files in tmp directory

su queste cose credo non posso farci nulla perche sono cinfigurazioni dell'hosting condiviso, sono molto gravi?:
        allow_url_fopen is on.
   No functions disabled.
   open_basedir not used

La cartella tmp, si torva al di fuori del public_htm ma perchè tutti i file temporanei si torvano in una cartella tmp all'interno del public_html
Come si generano questi file temporanei? Forse dopo ogni installazione/disinstallazione/

se trsferisci pure i file temporanei

che vuol dire? mica li ho messi io lì :-S

Questi files vengono prodotti solo in locale non in remoto.

Diciamo che non mi è ben chiara la faccenda, il sito è sempre stato sul server, mai in locale sul pc, come si sono generati 4887 file temporanei? forse per il ripristino di backup?
Per elimiarli basta semplicemente selezionarli tutti ed eliminarli con filezilla? la cartella tmp deve essere smepre vuota dunque?

grazie molte.

[mau_develop]

...ma files temporanei ti riferisci a quelli nella cartella tmp??
..si sono quelli delle installazioni, ogni pacchetto viene "passato" prima per quella cartella, cancellali... ma nn dovrebbero costituire alcun pericolo...peso inutile si.

  No .htaccess file found in Admin path. The admin path should be password protected.
----------------------------------------------
...questa è una caxata ... ovvio che può essere protetta con un htaccess+htpassword... ma a che pro?

M.

[marcothemix]

Ok li ho eliminati.

ora facendo un check con guard xt prima di disintalalrdo mi dice:
      18843 unconfirmed file or folder changes      
   4750 Files with not recommended permissions (> 644)    
   5 Folders with not recommended permissions (> 755)

Posso fidarmi e posso far eseguire a guard xt tutte le modifiche ai permessi che consiglia?credo di no.
I permessi li cambiai quando istallai joomla per la prima volta su questo server che di defaul aveva permessi troppo restrittivi che non permettevano l'esecuzione corretta di joomla, da allora non li ho mai più toccati.

come dovrebbero essere settati? quelli dei componenti credo che èè il componente stesso a settarli?

grazie

[mau_develop]

...lasciali pure così, ...non può fare una valutazione di quali siano i permessi corretti non sapendo come è configurato i server...

per questo sostengo l'estensione di Marco, perchè non ha scemenze strane fa il suo lurido mestiere e lo fa bene e non promette nulla di ciò che non potrebbe  dare.

M.

[marcothemix]

Ok grazie mille, mi hai rassicurato.
Infatti ero onvinto che se cambiavo i permessi non avrebbe funzionato più nulla.
Infati all'inizio quando cambiai srver fù davvero un casino settare i permessi per far girare bene joomla.

[mau_develop]

azzardando un'affermazione da prendere con le pinze... basta che non hai permessi 777

sui configuration e htaccess puoi pure tenere i 644 e dovrebbe funzionare

M.

[marcothemix]

ho le seguenti cartelle con i permessi a 777
         

Codice: [Seleziona]

/administrator/backups/upld  777
/components/com_joomgallery/img_thumbnails 777
/images/comprofiler 777
/images/comprofiler/gallery 777
/images/lyftenbloggie              777
e i seguenti file
     

Codice: [Seleziona]

/administrator/backups/slkfv.php 777
         /host.php 777
  /host.txt  777
         /images/tpniceslideshow/icon/1763175001.jpg 777

[mau_develop]

quindi sei su un server windows?

M.

[marcothemix]

No,
Hosting Linux
server web: Apache

[mau_develop]

.. e non è mica tanto corretto... o almeno non è corretto per joomla.

M.

[marcothemix]

Potresti indicarmi per favore come dovrei settare i permessi per quei file/cartelle?
p.s.  anche la cartella public_html ha permessi 777

Grazie

[mau_develop]

joomla funziona correttamente con permessi 755 files e cartelle (qualcuna con tuning delicato può anche essere abbassata ulteriormente... ) ma direi che stiamo sconfinando in un capo che nn è per nulla il mio... sicuramente c'è chi di server ne capisce mlto di più ..

M.

[marcothemix]

Grazie, ho settato i permessi a 755 a quei file e cartlle chi ti avevo detto.
Disinstallo guardxt per magari reinstallarlo quando sarà stabile.


marco