Beiträge von kannnix

Danke !

(Ja, ich meine den "Stil")

Das muß ich erst mal in Ruhe lesen, aber wenn ich durch komplettes Sichern des Templates ohne Security-Probleme
zurechtkomme, mach ich das erst mal so.

Wieder mal was gelernt... tolles Forum ! Reiner

Ich bin mir etwas unsicher, was der Unterschied zwischen einem Template und einem Style ist. Das Template ("Vorlage") beinhaltet doch Styles ("Gestaltung") ?

Jedenfalls mache ich im Kontrollzentrum eine Kopie des Styles.

Wenn ich dass komlette Template sichere, den Update mache, und dann das Template rückschreibe, ist alles ok.
Mach ich damit möglicherweise Änderungen, die der Update durchgeführt hat, in sicherheitsrelevanter Weise kaputt ?

Das Problem der user.css ist (schäm !), daß ich massig rumgespielt habe beim Ändern des Templates, und vieles nicht mehr nachvollziehen kann.
Für einen konsequenten Vergleich des css ist das Ding einfach viel zu lang (auch wenn ich tools nutze).

Hallo,

vor einer Weile habe ich hier gelernt, daß es bei modifizierten Templates sinnvoll ist, vor einem Update die index.php und sden Template-Style durch Kopieren zu sichern.
Ich hab beides beim Update vón 3.9.20 auf 3.9.21 gemacht, Trotzdem habe ich (wieder) Änderungen in der Seitengestaltung (Hintergundfarben, Titelanzeige und sowas).
Kein Problem, ich habs mit einer Versuchsmaschine gemacht.

Die Frage wäre : wo verändert das Update Informationen, die nicht in der index.php und im Style abgelegt sind ??

ok, dann wie immer : danke !!

und was lerne ich jetzt ?
ist das ein sicherheitsproblem oder reden wir von kosmetik ?

Hallo,

bin mir nicht sicher, ob das eine security-Thematik ist.
Einer der Teilnehmer meines Kurssystems hat festgestellt, daß man auf die Joomla-Directories direkt zugriefen kann, ohne eindeutigen filenamen.

Beispiel :

normaler Zugriff : https://portal.ts-muenchen.de/…egorised/34-atm2p1-fertig

modifizierter Zugriff : https://portal.ts-muenchen.de/…module-at/2-uncategorised

... jetzt kommen alle Beiträge daher, die sich offenbar in diesem Kontext befinden.

Wie gesagt, ob das irgendwie die Sicherheit gefährdet, weiß ich nicht, schön ist es aber nicht.
Kann ich mit einem allgemeinen Parameter verhindern, daß der Server alles aus Directories anzeigt, wenn kein konkreter Filename gegeben wird ?

Das ist sogar für mich nachvollziehbar : in der Kopie steht die Auswahl fluid/static auf static, vor der Kopie auf fluid.
Komisch für eine Kopie ...

Danke

Danke Elwood !

Es hat aber leider nicht funktioniert. Ich bin genau nach Anleitung vorgegangen, und habe das modifizierte protostar kopiert.
(-> portal_protostar). Wenn ich dieses aber nun als Standard definiere, kommt eine andere Darstellung meiner Seite.

hier das Orginal : https://portal.ts-muenchen.de
hier die Kopie : https://portal.reinerdoll.de

oh weh, ich kann echt nix ...

Unklarer Nebeneffekt : Wenn ich meinen Joomla (Bitnami/Debian -VM) runterfahre (z.b. für ein Backup der VM) und dann wieder hoch, meldet er bei jeglichem Zugriff den Text "Error". Sonst nichts.
Nach ein paar Minuten dann aber "spontane Selbstheilung", irgendwann läuft er einfach wieder ...

Sollte mir das Sorgen machen ?

Ich habe ein wenig nach Konfigurationsmöglichkeiten gesucht, und wollte den htaccess im httpd.conf modifizieren.

Dabei fällt mir auf, daß die httpd.conf sich mit meinem "serververhalten" widerspricht :
In den Konfigzeilen zum Port (listen usw.) steht überall 80 (und nur 80). Der Server ist aber so konfiguriert, daß er nur auf 443 reagiert bzw. umleitet.

Als Documentroot ist /opt/bitnami/apache/htdocs eingetragen, und das ist definitiv nicht mein Quellverzeichnis mit den html / php -Files.

... solange ich sowas Grundlegendes nicht verstehe, bastel ich da lieber nicht rum

Kann ich denn als Zugriffsschutz für das administrator-Verzeichnis nicht einen anderen Schutzmechanismus einbauen, wenn ich den .htaccess nicht zum laufen kriege ?

Update trau ich mich gerade nicht, der Server wird momentan dringend benötigt, ich will nix riskieren ...
Die laufende Version ist : Joomla! 3.9.20 Stable [ Amani ] 14-July-2020

(Wenn ein update dringend nötig sein sollte, muß ich ihn halt ne Weile runterfahren und die VM backupen ...)

hab ich auch festgestellt.
trotzdem kann ich die php-files da drin aufrufen (beispiel : .... /privat/sync.php ) !?

Der Pfad stimmt, danke für den Tipp, wie man das prüft.
Auch mit deny from all erfolgt keine Änderung.

Ok, ich schau mal, ob die Leute bei bitnami auch so extrem hilfsbereit sind wie ihr hier !

in der httpd.conf steht diese Zeile : LoadModule auth_basic_module modules/mod_auth_basic.so

Ich hab den Server nicht selbst installiert, das ist eine fertige Debian-VM mit Joomla von bitnami.
Im Web finde ich Artikel wie diesen hier :

https://docs.bitnami.com/oci/a…inistration/use-htaccess/

in denen irgendwas über .htaccess und bitnami steht, die ich aber nicht verstehe. Ich möchte jetzt meinen "Produktiv"-Server nicht mit irgendwelchen Experimenten gefährden, die ich nicht verstehe.

Ich weiß, ich will ja auch das administrator-erzeichnis schützen, aber zum Testen habe ich zunächst eben nur auf das /administrator/privat gezielt.
die .htaccess die dort steht habe ich in #4 angegeben.

ich habe das nun auf die Idee von JoomlaWunder hin von einem anderen Rechner aus probiert : gleicher Effekt, Zugirff ohne Passwortfrage.

Das /bitnami/joomla ist das root-Verzeichnis, jedenfalls das DocumentRoot. Da steht z.b. die index.php, wenn ich dort egene php-files ablege, kann ich sie hinter dem fakeroot portal.ts-muenchen.de/ aufrufen.
(Als Server-Root ist glaube ich aber was anderes eingetragen.)

Die Datei heißt /bitnami/joomla/administrator/privat/.htaccess

Die soll (zum testen) zunächst das Verzeichnis ./privat schützen. Dort befinden sich php-Testfiles, die ich leider trotz dem .htaccess ohne Passwortfrage ausführen kann.
Der Hoster bin ich selber, es ist eine bitnami-vm (Debian) mit einer fertigen Joomla-Installation auf einem Apache.

Muß ich denn irgendwo im config noch den .htaccess aktivieren ?

das Passwort für tunnelmann hab ich mit dem Generator erzeugt, es wird aber nicht abgefragt ..

AuthUserFile /bitnami/joomla/administrator/privat/.htpasswd

AuthGroupFile /dev/null

AuthName "Statistik"

AuthType Basic

require user tunnelmann

Hallo,

wie im Web gelesen, möchte ich die Sicherheit meines Joomla erhöhen, indem ich den admin-Bereich mit einem .htaccess ( + .htpasswd) versehe.

Nur : es tut nix.

Das file ist 1:1 so wie in den Vorlagen im Web, ich denke ich verstehe es auch. und es scheint sinnvoll.
Woran kann das liegen, wenn der Zugriff trotzdem ohne Passwortfrage klappt ?

Würde mich interessieren :

Auf meinem neuen Server (läuft seit ca. 4 Wochen) habe ich das auf dem alten Server laufende Kunena-Forum nicht installiert.
War eine komplette Neuinstallation.

Trotzdem kriege ich (Apache access_log) Zugriffe auf Foren-Einträge :

192.176.249.42 - - [05/Sep/2020:05:43:07 +0000] "GET /index.php/forum/eich-florian/1916-kw47 HTTP/1.1" 302 252

192.176.249.42 - - [05/Sep/2020:05:43:08 +0000] "GET /index.php/forum/eich-florian/1916-kw47 HTTP/1.1" 404 4283

Liege ich richtig mit der Vermutung, daß da ein Rechner versucht, mit gespeicherten GET-Adressen irgendwas übles zu probieren ?
Muß ich da irgendwie reagieren ?

hallo Anka,

danke für die Antwort. Wie meinst du das mit "Template kopieren" ?
Genau das hab ich ja gemacht, das alte Protostar-css über das nach dem Update drüberkopiert, dann war alles wieder ok.

Aber damit habe ich nun bei jedem Update natürlich das Problem. Ich müßte die Stellen im css finden, die für die unterschiedlichen Formatierungen verantwortlich sind, und diese gezielt in ein user.css verschieben.

Nur : die Unterschiede rein im Quelltext sind so umfanggreich, daß ich da ewig rumbasteln muß. Eine solche "technische" Analyse ohne Verständnis der Funktionalitäten im css ist wenig sinnvoll.