Boa tarde
Dando seguimento aos testes, ainda é possivel via web acessar a pasta dos backups.maz do mk-auth.
o mesmo se encontra acessivel via
http://ip-endereco-da-máquina/admin/down_bckp.php?id=2102ARQXXXXXXXX "criando um script que gere os ultimos 8 digitos" uma vez que o backup gerado apenas usa letras minusculas e Maiusculas nos ultimos 8 digitos.. nos 10 backups de teste que geramos até ao momento não foram gerados nenhum backup com numeros ou caracteres especiais nos ultimos digitos.
Não seria bom adicionar uma protecão extra, adicionando a solicitacão de um usuário e senha especifico para acessar este tipo de pastas, que se encontram abertas?
Os testes foram efetuados em máquina com IP publico, tanto em http como https é possivel baixar o dump arquivo de backup.
Lembrando que o intuito aqui é alertar para que seja corrigido ou adicionado algum mecanismo o mais rápido possivel.
Respostas
Nota importante, quem estiver usando addons, é possivel acessar os addons sem estar logado, facam o teste abram os navegadores em modo anônimo, para garantir que não estão logados no sistema, e acessem o menu de addons.
principalmente quem estiver usando o addon /adminer ou addon de testes habilitado..
http://IP-DO-SERVIDOR/admin/addons/adminer/adminer.php
"muito importante" addon permite acessar direto o banco de dados usando o usuário e senha padrão do banco de dados. e baixar o dump direto sem sequer ter que acessar o mk-auth.
Metodo simples para proteger os diretórios que tem acesso externo sem necessitar estar logado.
Exemplo abaixo para proteger a pasta "addons"
1- Vamos criar um diretório pasta dentro do servidor, onde iremos registrar o usuário e senha de acesso para o sistema .htaccess
Tem que ter acesso ao servidor mk-auth via SSH. após acessar o servidor mk-auth digitar o seguinte comando abaixo na janela de comando
sudo mkdir /home/chaves/
o comando acima irá criar uma pasta "chaves" dentro do diretório "home".
2- após criar a pasta, vamos adicionar o usuário e senha especifica para acesso a pasta que queremos proteger, digitando o comando abaixo
htpasswd -c /home/chaves/htpasswd N1B4M3
o comando acima solicita o sistema para criar o usuário nome N1B4M3 dentro da pasta /home/chaves/
após enviar o comando ele irá solicitar para digitar a nova senha a ser criada para o usuário
Após digitar a nova senha ele irá solicitar para confirmar a senha de novo
3- Em seguida vamos até a pasta que queremos proteger no caso citado acima /opt/mk-auth/admin/addons , usando o wincsp e navegamos até a pasta acima mencionada, em seguida criamos um novo arquivo com o nome .htaccess como mencionado na foto abaixo
e no arquivo adicionamos o seguinte.
#Protect Directory
AuthName "Acesso Negado"
AuthType Basic
AuthUserFile /home/chaves/htpasswd
Require valid-user
após digitar clicamos em salvar e fechamos o arquivo.
4- Por ultimo vamos ter que acessar o apache2.conf arquivo para editarmos e adicionarmos o diretório que queremos proteger que no caso mencionado é /apache2/apache2.conf
abrimos o arquivo em modo editar
e no final do texto adicionamos o seguinte
<Directory /opt/mk-auth/admin/addons>
Options Indexes Includes FollowSymLinks MultiViews
AllowOverride AuthConfig
Order allow,deny
Allow from all
</Directory>
Salvamos o arquivo e fechamos o mesmo.
5- por ultimo vamos reiniciar o apache2 usando o comando abaixo
service apache2 reload
6- por ultimo tente acessar a pagina em modo anonimo sem estar conectado novamente em /admin/addons/ se tudo estiver ok irá aparecer a mensagem abaixo na página que antes abria sem estar logado no servidor..
Digite o novo usuário e senha criado nos passos acima e deverá liberar o acesso ao addon.
Lembrando que o mesmo pode ser adicionado em qualquer outra pasta que quiser adicionar protecão com usuário e senha especifico, basta acessar a pasta criar um novo arquivo .htaccess, digitar os mesmos dados mencionados acima para o arquivo .htaccess, e salvar o arquivo na nova pasta, depois tem que entrar em apache2.conf e adicionar as linhas abaixo igula fez no passo anterior, só mudando o caminho do diretório /opt/mk-auth/xxx
down_bckp.php requer login para funcionar.
vc tem que incluir o arquivo addons.class.php no seu addon como no exemplo da pasta /opt/mk-auth/admin/addons/teste/index.php para o controle de acesso funcionar e Pedro não coloca phpmyadmin, adminer, etc no sistema, é fatal amigo, algum momento alguém acessa, usa algum programa como o HeidiSQL que já tem opção de criar a conexão mysql via tunel SSH.
Pedro Costa disse:
realmente tendo o ID ainda da pra fazer o download dos backup, mas como o começo mudar de servidor pra servidor acho que e meio difícil de sabe o id.
Pedro Filho disse:
Testei o addon de Mapa de CTO e deu acesso negado (usandoo firefox em modo anônimo).
Então realmente depende de como foi desenvolvido o addon, neste caso está seguro.
Boas
só fiz uma referencia para quem usa, não recomendo também ou se for usar tentar tomar as precaucões necessárias deixar habilitado o addon apenas enquanto estiver usando .... porém tem essa falha testada com o adminer deu acesso.
por outro lado seria bom uma atualizacão também do kernel para a versão 5.4.xx
Pedro Filho disse:
como faz para incluir esse addons.class.php no meu addons ? tentei aqui mais nao sei como e onde coloca no meu addons
atualizei para a versao 22.01 e agora meu addons fica dando ( Acesso negado... )