| / домой \ | \ темы / |
| 25/08/2010 08:40 Zelrus: |
| Прошу проверить безопасность вашего сервера т. к . на ресурсе Link temporary removed показано как его взломать.
|
| 25/08/2010 08:41 Zelrus: |
| (www.xakep.ru/post/16202/default.asp)
|
| 25/08/2010 08:42 Zelrus: |
| Прошу уделить этому большое внимание.
|
| 25/08/2010 09:47 Max: |
| Во первых содержание указанной страницы, относиться к версии восмилетней (!!!) давности и даже по отношению к ней это ерунда. 1. При установке, по умолчанию FTP сервис всегда выключен, а уж тем более пользователя с доступом без пароля, и каталог доступа должен задать администратор. Если кто-то задает корень диска C:, ну может быть у него на диске C нет ничего ценного или секретного. Сервер не запрещает задавать любой каталог. 2. Крииптование, вернеее храненние необратимой кэш функции вместо пароля включается в конфигурации. В любом случае, администратор не должен давать доступ к этому файлу, -- это вполне естественное требование безопастности. 3. В сервере есть счетчики неудачных попыток авторизации которые ведутся по каждому IP, значения этих счетчиков отоброжается на странице состояния, при обнаружении попытки подбора пароля IP блокируется. Все попытки авторизации фиксируются в логе. |
| 17/09/2010 20:26 mukalo: |
| Все таки если будет доступ к папке shttps то логины и пароли можно узнать. Но суть не в этом. А возможно ли сделать что бы пароль шифровался а не лежал практически в открытом виде: в русских букв соответствующих английским. К примеру если пароль qwer83ty то в конфиге он будет в виде йцук83ен.
|
| 12/10/2010 15:31 Max: |
| Вы в настройки заглядывали? Там есть две опции: 1) "Don't save uncrypted passwords in config file." -- запрещающая хранение пароля в настройках, -- вместо них будут храниться необратимые хэши 2) "Remove passwords from the log" -- удаляющая все пароли из логов. |