ما هو تصريح 444

كل ما يتعلق بحماية و تأمين جوملا! وتحسين سرعة التنفيذ والأداء

Moderators: sherif, General Support Moderators

Locked
HH
Joomla! Guru
Joomla! Guru
Posts: 605
Joined: Fri Dec 29, 2006 11:57 pm
Contact:

ما هو تصريح 444

Post by HH » Thu Sep 10, 2009 11:30 pm

كتبت لكم سابقا قائمة مبسطة بالخطوات الأمنية التي يجب عليك إتباعها بعد تنصيب جملة
هذه القائمة - برأيي - أساسية للعمل عليها حتي تضمن موقع مؤمن إن شاء الله
http://forum.joomla.org/viewtopic.php?f=551&t=439061

من الموضوع السابق نعرف أن الحماية الأساسية هي
تصريح 644 للملفات + 755 للمجلدات
هذا الموضوع سوف يناقش شيئ آخر وهو يعتبر إضافة طبقة ثالثة من الحماية
والمقصود بها إعطاء تصريح 444 للملفات الحساسة

أولا: ما هو تصريح 644 للملفات
ببساطة نحن نعرف أن علينا إعطاء تصريح 644 للملفات من أجل الحماية
طيب هل سألتم أنفسكم ماذا يعني هذا التصريح؟
إنه ببساطة يعني أن الملف له خاصية القراءة + الكتابة من مالك الموقع
بالإنجليزية: Read and Write permissions for Owner

وهذا يعني أن أي عملية للقراءة أو الكتابة -تقنيا على سيرفر الموقع الذي يعمل بنظام لينوكس- لن تتم إلا من داخل الموقع
وهذا يعطي الحماية للملف من أي محاولة للقراءة أو الكتابة من أي سكريبت أو مخترق خارج الموقع
ومن ضمن هذه العمليات: عمليات رفع الملفات إلى سيرفر موقعك باستخدام برنامج إف تي بي مثلا

ثانيا: ما هو تصريح 444 للمفات
هو يقوم بجعل الملفات في حالة قراءة فقط حتى بالنسبة لصاحب الموقع
بالإنجليزية: Read Only permission for Owner

في هذه الحالة لن يستطيع حتى صاحب الموقع أن يقوم برفع ملفات للتعديل على ملف موجود
اللهم إلإ إذ أعطي الملف المقصود تصريح 644 بدلا من تصريح 444

برأيي أن هذا التصريح هام للحفاظ على الملفات الحساسة بموقعك وهي أساسا
.htaccess, configuration.php, index.php (للقالب)

ثالثا: كيفية إعطاء/إلغاء تصريح 444
هذا التصريح من المفضل العمل عليه من لوجه التحكم ثم إدارة الملفات
CPanel (control panel) ---> File Manager

في موقعى لم يقبل تغيير التصاريح باستخدام برنامج إف تي بي لذا لوحة التحكم هي المثلى لتلك الأمور جميها

رابعا: ملحوظة هامة جدا
إعطاء هذا التصربح لمفاتك الحساسة يعني أنك -كمالك الموقع- لن تستطيع التعديل عليها برفع ملفات أخرى مكانها
لذا إذ أردت تعديل أي ملف من الذي ذكرتهم، عليك بإعادة إعطائها تصريح 644 للتمكن من رفع الملفات مرة أخرى

وبالمناسبة: المقصود بمالك الموقع هو المصطلح الذي يظهر بالإنجليزية لك في أخر عمود في برنامج إف تي بي أمام كل ملف أو مجلد
وهو بالإنجليزية Group/Owner عادة

عموما الأساسى هو تصريح 644 للمفات + 755 للمجلدات
يعني أقل من هذا يعني أن موقعك قد يكون عرضه لإختراق لا قدر الله

نحياتي مع مواقع آمنة لكم ولنا جميعا :)

Me = Wonder + Ponder
http://www.hichamaged.net/

User avatar
dr_lionheart
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 115
Joined: Wed Aug 26, 2009 2:19 am
Location: Jeddah-Saudi Arabia
Contact:

Re: ما هو تصريح 444

Post by dr_lionheart » Fri Sep 11, 2009 11:23 am

مشكور عزيزي على هذه المعلومات القيمة
زي هادي الأشياء الواحد كل يوم يشتغل فيها بس ما يعطيها اهمية كبير
بينما هي اساسية في حماية الموقع زي ماذكرت
وجزاك الله خير
PHP designer,
manager,RISEMYWEB
http://www.voxelx.com | Online DICOM viewer and library for radiologists

HH
Joomla! Guru
Joomla! Guru
Posts: 605
Joined: Fri Dec 29, 2006 11:57 pm
Contact:

Re: ما هو تصريح 444

Post by HH » Sun Sep 13, 2009 12:22 pm

مشكور أنت أيضا على مرورك الكريم :)
الوقاية خير من العلاج بخاصة إذا كانت في خطوات بسيطة يمكننا أن نقوم بها
عموما هذا الموضوع يعتبر متقدما نوعا ما كما شرحت
المهم هوالخطوات الأساسية المشروحة سابقا في الرابط الموضوع في المشاركة الأصلية الأولى

Me = Wonder + Ponder
http://www.hichamaged.net/

pearls
Joomla! Fledgling
Joomla! Fledgling
Posts: 3
Joined: Sun Sep 13, 2009 9:54 pm

Re: ما هو تصريح 444

Post by pearls » Sun Sep 13, 2009 10:49 pm

جزاك الله خير

User avatar
dr_lionheart
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 115
Joined: Wed Aug 26, 2009 2:19 am
Location: Jeddah-Saudi Arabia
Contact:

Re: ما هو تصريح 444

Post by dr_lionheart » Fri Sep 25, 2009 10:21 pm

فقط لي تعقيب بسيط
انا مركب في موقعي البوم صور
وملف الصور بيحتاج الى تصريح 777 عشان عملية رفع الصور
سؤالي هل هذا التصريح لهذا المجلد يشكل خطر على موقعي بالرغم انه لابد منه
وشكرا
PHP designer,
manager,RISEMYWEB
http://www.voxelx.com | Online DICOM viewer and library for radiologists

ALKUMAIM
Joomla! Intern
Joomla! Intern
Posts: 61
Joined: Tue Dec 08, 2009 9:48 pm

Re: ما هو تصريح 444

Post by ALKUMAIM » Wed Feb 17, 2010 5:31 am

dr_lionheart wrote:
فقط لي تعقيب بسيط
انا مركب في موقعي البوم صور
وملف الصور بيحتاج الى تصريح 777 عشان عملية رفع الصور
سؤالي هل هذا التصريح لهذا المجلد يشكل خطر على موقعي بالرغم انه لابد منه
وشكرا

اكيد يشكل خطر !!

الأغلبيه يستخدم سكربتات او صور لرفع الملفات في موقعه وهذه السكربتات او الصور كثيره منها ماهو أمن ومنها ماهو غير أمن ، وهذه السكربتات تشترط منك ياصاحب الموقع أن تقوم بعمل تصريح 777 او تصريح 707 لمجلد معين وهذه التصاريح تسمح لزوار موقعك بالكتابه في المجلد الذي قمت أنت بتصريحه.

الخطوره هنا من ملفات الـ php لأنها تحتوي على تعليمات برمجيه يتم تنفيذها داخل خادم الموقع .
فلو قام أحد الأطفال المخترقين من رفع ملف php إلى الخادم بأي ثغرة كانت فسوف يبحث عن المجلدات ذات تصريح 777 أو 707 لأن صلاحياته صلاحيات زائر وحين يجد هذه المجلدات فسوف يستخدمها كمعسكر لملفاته وسكربتاته مثل : PHPShell ، MySQLInterface ............. الخ بعدها سيصل إلى ملفات موقعك وبعدها أنت تعلم ماذا سيفعل

إذن ما الحل الصحيح لهذه المجلدات !؟!؟

الحل طبعاً بتعطيل تنفيذ الـ php داخل هذه المجلدات عن طريق تعليمه تضيفها في ملف الـ .htaccess وهي :

Code: Select all

php_flag engine off

Options All -Indexes

RemoveType .php .phtml .php4 .php3 .phps .pl .cgi

بعدها تقوم برفع ملف الـ .htaccess الى كل المجلدات ذات تصريح 777 .

وللتجربه قم برفع اي سكربت php للمجلدات ذات التصاريح 777 والتي تحتوي على الـ htaccess وقم بالدخول على هذا السكربت وشاهد النتيجه .
سوف تجد أن السكربت لم يقم الخادم بتنفيذه

الرجا الانتباة , ان النقطة هي قبل اسم الملف و ليس بعده , فالنقطة قبل اسم الملف معناها , اخفاء الملف ;)

................................
| www.al-yemen.de |
''''''''''''''''''''''''''''''''''''''''''''

User avatar
suneye
Joomla! Hero
Joomla! Hero
Posts: 2676
Joined: Sat Jan 12, 2008 6:00 pm
Location: Damascus - Syria

Re: ما هو تصريح 444

Post by suneye » Wed Feb 17, 2010 12:13 pm

السلام عليكم
هذا الموضوع موجود في قسم الدروس ولتعلقه بالموضوع ولأهميته سأعيد نشره هنا للإستفادة:

تنصيب جوملا! والعمل بشكل آمن وبدون مشاكل
http://forum.joomla.org/viewtopic.php?f=560&t=486039

على الرغم من أهمية الموضوع من الناحية الأمنية ومن ناحية الاستخدام السهل والصحيح لجوملا!، إلا أني لن اتوسع بالموضوع وسأقوم بطرح نقاط أساسية ثم شرح الطريقة الصحيحة للتعامل مع جوملا! من تنصيب وإزالة وتعديل ورفع صور وغير ذلك مع الإبقاء بشكل دائم على التصاريح مقفلة أي 755 و644 وبدون الحاجة الى فتح أي ثغرة أما المخترقين.
طبعا سأتكلم عن استضافة مشتركة وهي المستخدمة من الغالبية ونظام يونيكس (أقصد الاستضافة) وبالتأكيد أباتشي مع بي اتش بي.
1- الابقاء على تصريح أي مجلد قابل للكتابة 777 يشكل خطراً أمنياً على الموقع أي كان هذا المجلد وجوملا! مصممة للعمل على هذا الأساس وعندما تكون مجبراً على فتح تصريح أي مجلد مثل الصور أو التيمب أو الكاش أو اللوغ فهذا يعني أن طريقة استخدامك لجوملاَ! غير صحيحة ولايعني أن نظام جوملا! به مشكلة.
2- خاصية ftp تم تضمينها في جوملا! لتسهيل العمل والابتعاد عن مشاكل الاستضافة والاخطاء التي تقوم بها بعض الاستضافات وهي خاصية رائعة إن تم استخدامها بالشكل الصحيح.
3- يوزر الاباتش هو من فئة مالك/مجموعة على السيرفر وليس مستخدم ولايمكن بأي حال التخلص منه مع الاستضافات المشتركة إلا اذا قامت الاستضافة بجعل المالك/المجموعة هو اسم المستخدم الخاص بك وهذا هو الشكل الافتراضي، إلا أن بعض الاستضافات تقوم بتغيير المالك/المجموعة اسم اسم خاص بها بدلا من اسم المستخدم الخاص بك عند قيامك بعمل غير مقبول لديهم مثل زرع ملف php.ini أو ملفات أخرى غير مقبولة وهذا يتسبب إما بعدم قدرتك على تنفيذ الاوامر مع جوملا! أو أحياناً يتسبب بتعطيل الموقع، وتوجد استضافات محترمة تحافظ على المالك/المجموعة باسم خاص بها مع استخدام برمجية خاصة تمكنك من التعامل الكامل مع جوملا! وبالتلي تحقق الحماية والالمان لسيرفراتها وتعطيك الصلاحيات اللازمة.

الآن بيت القصيد:
توجد عدة طرق لبدء التعامل مع جوملا! على السيرفر الحقيقي وهذا يؤدي الى إجبارك على اتباع طريقة محددة تتناسب مع طريقة البدء لتسير الامور بشكل سهل او صعب وذلك حسب الطريقة:

الطرق الخاطئة:

1- تقوم برفع مجلد أو ملفات جوملا! على موقعك على السيرفر باستخدام cPanel وأثناء التنصيب تقوم بتفعيل خاصية ftp
هذا يؤدي إلى جعل ملكية جوملا! تابع للأباتشي وهنا هو اسم المستخدم الخاص بك الذي تستعمله مع cPanel، ولن يعود بمقدورك التعامل مع جوملا! إلا بفتح تراخيص المجلدات 777 عند تنفيذ أي عمل من تنصيب أو ازالة او تعديل، وكذلك ستكون مضطراً لفتح مجلد الصور والمجلدات التي بداخله وهي ستوريس وبانر لتتمكن من رفع الصور إما عن طريق ftp أو عن طريق cPanel، وهذا خطير من ناحية الابقاء على مجلدات مفتوحة ومتعب عند قيامك بتنصيب لو ازالة او تعديل لأنك بحاجة الى اعطاء تصاريح مفتوحة لحوالي 28 مجلد وبعد الانتهاء اعادة التصاريح الى الوضع الافتراضي، وهذا ايحصل مع معظم مستخدمي جوملا!.

2- تقوم برفع مجلد أو ملفات جوملا! على موقعك على السيرفر باستخدام ftp وأثناء خطوات التنصيب لاتقوم بتفعيل خاصية ftp، وتعود الى استخدام cPanel / ادارة الملفات للتعامل مع جوملا وهذا يؤدي إلى نفس النتائج السابقة فحتى لو قمت برفع جوملا! باستخدام ftp ولمن عند التعامل مع cPanel تصبح الملكية/المجموعة للأباتشي وهذ يلغي صلاحيات ftp.

3- تقوم برفع مجلد أو ملفات جوملا! على موقعك على السيرفر باستخدام ftp وأثناء خطوات التنصيب تقوم بتفعيل خاصية ftp، وتعود الى استخدام cPanel / ادارة الملفات للتعامل مع جوملا وهذا يؤدي إلى نفس النتائج السابقة.

الطريقتين الصحيحتين:
1- تقوم برفع جوملا! على موقعك على السيرفر بإستخدام cPanel/إدارة الملفات وتنسى أمر ftp نهائياً وتتابع العمل بهذه الطريقة، وفي هذه الحالة يمكنتك التعامل مع جوملا! مع الابقاء على التراخيص آمنة 755 ولن تضطر الى فتح التارخيص مطلقاً ولا لأي مجلد. وهذه الطريقة لاأفضلها لأن ftp أسهل بالتعامل وأسرع وأكثر أماناً.

2- تقوم برفع جوملا! على موقعك على السيرفر بإستخدام ftp وأثناء التنصيب تقوم بتفعيل ftp وتنسى أمر cPanel نهائياً، وتتابع العمل باستخدام ftp فقط، وفي هذه الحالة يمكنك التنصيب والازالة والتعديل ورفع الصور الى المجلدات وكذلك رفع الصور أثناء كتابة مقال والقيام بكل مع الابقاء بشكل دائم على التصاريح مقفلة أي 755 لجميع المجلدات بدون أي استثناء، وبالتالي يبقى موقعك آمناً بإذن الله ولن تحتاج الى التعب بتغيير التصاريح كلما أردت القيام بعمل أساسي على أن تكون إعدادات ftp تنصيب جوملا! كما يلي:


var $ftp_enable = '1';
var $ftp_host = 'ftp.yourhost.com';
var $ftp_port = '21';
var $ftp_user = 'ftp_user';
var $ftp_pass = 'ftp_password';
var $ftp_root = '/public_html/joomla_directory';


مع الإنتباه جيداً إلى آخر سطر في الاعدادات ففي حال قمت بتنصيب جوملا! على الموقع مباشرة بدون مجلد ضع public_html فقط،
في هذه الحالة يصبح موقعك آمناً وترتاح من عذاب تغيير التصاريح وتستخدم برامج ftp التي تعتبر أسرع وأكثر أماناً وترتاح من المشاكل ورسائل الخطأ.

بالتوفيق للجميع
Mahmood Alhaj Kassem _ محمود الحاج قاسم
Arabic Joomla! Translation Coordinator and Arabic forum moderator.
http://joomlacode.org/gf/project/arabic_unitag/

omar altameme
Joomla! Intern
Joomla! Intern
Posts: 94
Joined: Fri Jan 01, 2010 6:13 pm

Re: ما هو تصريح 444

Post by omar altameme » Sat Feb 27, 2010 7:12 pm

شكرا على هذه المعلومات .. ونطمع بالمزيد
لان القسم شبه خامل
Signature rules: Literal URLs only - http://forum.joomla.org/viewtopic.php?f=8&t=65


Locked

Return to “الحماية - و تحسين السرعة والأداء”