Bienvenue, Invité
Nom d'utilisateur : Mot de passe :
Before asking for help please read "Requesting Help and Suggestions" by clicking on that tab above here.
  • Page :
  • 1

SUJET :

Security problem il y a 1 mois 1 semaine #1

  • Michael12
  • Portrait de Michael12 Auteur du sujet
  • Hors Ligne
  • Nouveau membre
  • Nouveau membre
  • Messages : 4
Hi everyone!
I installed webtree version 2.0.15.
When im open www.domain.com/data/config.ini.php and i see semicolon.
I read in the documentation that this means I have no protection.
When i changed permissions for folder data on 700 (chmod -R 700 data).
but i keep getting semicolon.

I use:
PHP Version 7.4.3
Nginx, Ubuntu on virtual server (digital ocean).

What i do wrong? What i need to do?

Connexion ou Créer un compte pour participer à la conversation.

Security problem il y a 1 mois 1 semaine #2

I do not believe that you called domain.com .
What is your domain?

Connexion ou Créer un compte pour participer à la conversation.

Security problem il y a 1 mois 1 semaine #3

  • fisharebest
  • Portrait de fisharebest
  • Absent
  • Administrateur
  • Administrateur
  • Messages : 14517
> I read in the documentation that this means I have no protection.

This means that the files in the /data folder are accessible directly.

This includes your GEDCOM files, your media files, etc.

In the /data folder, you will find a file called .htaccess.

This contains instructions for apache to hide the folder. But either

1) you do not use apache
2) your server does not use .htaccess files.

So, you must relocate this folder. Choose a folder at the same level as your webtrees installation.
e.g. "webtrees-data".

Move the GEDCOM files and the /media/ folder from /data to your new folder.
In the control panel / site preferences, there is a setting "data folder".

Change this from "data/" to "../webtrees-data".
Greg Roach - Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. - fisharebest.webtrees.net

Connexion ou Créer un compte pour participer à la conversation.

Security problem il y a 1 mois 1 semaine #4

  • fisharebest
  • Portrait de fisharebest
  • Absent
  • Administrateur
  • Administrateur
  • Messages : 14517
Alternatively, for nginx users, look at the example here:
webtrees.net/faq/urls/
Greg Roach - Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. - fisharebest.webtrees.net

Connexion ou Créer un compte pour participer à la conversation.

Security problem il y a 1 mois 1 semaine #5

  • Michael12
  • Portrait de Michael12 Auteur du sujet
  • Hors Ligne
  • Nouveau membre
  • Nouveau membre
  • Messages : 4

Alternatively, for nginx users, look at the example here:
webtrees.net/faq/urls/


fisharebest, thanks for your answer!

I used the configuration file you sent. Now the server does not allow downloading files from the / data folders, but I still get a semicolon in the /data/config.ini.php path.
Is my site secure now?

Connexion ou Créer un compte pour participer à la conversation.

Security problem il y a 1 mois 1 semaine #6

  • fisharebest
  • Portrait de fisharebest
  • Absent
  • Administrateur
  • Administrateur
  • Messages : 14517
You have said 3 things.

1) you used my nginx config
2) you cannot access files in /data
3) you can run PHP scripts in /data

My script should (a) block *all* access in /data and (b) only allow PHP to run one script (index.php).

> I used the configuration file you sent

I guess you also have other nginx config which is executing the PHP scripts.

It is impossible to know what you have done without seeing *all* your nginx config.
Greg Roach - Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. - fisharebest.webtrees.net

Connexion ou Créer un compte pour participer à la conversation.

Security problem il y a 1 mois 1 semaine #7

  • Michael12
  • Portrait de Michael12 Auteur du sujet
  • Hors Ligne
  • Nouveau membre
  • Nouveau membre
  • Messages : 4
Attached my config.

I disabled 2 settings because I think they are duplicated.
Pièces jointes :

Connexion ou Créer un compte pour participer à la conversation.

Security problem il y a 1 mois 6 jours #8

  • fisharebest
  • Portrait de fisharebest
  • Absent
  • Administrateur
  • Administrateur
  • Messages : 14517
The rule:
location ~ \.php$ {

has a higher precedence than this rule
location /data {

I have written an article to explain the priorities:

fisharebest.stonystratford.org/116/under...ginx-location-rules/

> I disabled 2 settings because I think they are duplicated.

In my configuration, only one PHP script is allowed: index.php
This is a security feature.

Unless you have installed other PHP scripts, I recommend my configuration.

But if you need other PHP scripts, then you can replace the "low priority prefix" rules with "high priority prefix rules".
Greg Roach - Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. - fisharebest.webtrees.net

Connexion ou Créer un compte pour participer à la conversation.

Avez-vous besoin d'une solution d'hébergement web pour votre site webtrees ?
Si vous préférez un hébergeur spécialisé de webtrees, la page suivante en liste quelques-uns capables de vous offrir ce type de service :

Security problem il y a 3 semaines 4 jours #9

  • Michael12
  • Portrait de Michael12 Auteur du sujet
  • Hors Ligne
  • Nouveau membre
  • Nouveau membre
  • Messages : 4
Thank you! Your answer was beneficial to me.

I changed the configuration according to your recommendation. Is it all right now?

Have I configured this line correctly?

rewrite ^ /var/www/domain.com/index.php last

Pièces jointes :

Connexion ou Créer un compte pour participer à la conversation.

  • Page :
  • 1
Propulsé par Kunena