Aruba e sicurezza dati

Aruba e sicurezza dati

di Gioacchino Friscia -
Numero di risposte: 13

Salve Signori...

ho acquistato un domino su hosting aruba con mysql e vorrei "provare" ad installare una piattaforma moodle.

Da buon principiante ho un dubbo per quanto riguarda la sicurezza dei documenti in quanto la cartella moodledata si troverà dentro la wwwroot.

Leggendo nel forum moodle, ho capito che un utente non registrato, ma un pò smanettone, potrebbe facilmente prelevare i materiali dei corsi o altri informazioni importanti.

A questo punto vi chiedo... come posso mettere in sicurezza i miei "dati moodle" sul server aruba?

Grazie

Giò

Media dei voti:  -
In riposta a Gioacchino Friscia

Re: Aruba e sicurezza dati

di Lorenzo Nicora -
Credo che debba creare nella directory moodledata il file .htaccess con questa direttiva:
Deny from all


Sperando che lo legga: su Aruba sono disabilitate diverse possibilità di configurare le direttive Apache e PHP per il proprio sito.
Ne sa qualcosa un mio collega che si è trovato due volte una pagina degli "Hacker turchi" al posto del suo sito, su Aruba grande sorriso
(non era Moodle, comunque).

L.
Media dei voti:  -
In riposta a Lorenzo Nicora

L'intervento è stato rimosso

Il contenuto di questo forum è stato rimosso e non può più essere visualizzato.
In riposta a Lorenzo Nicora

Re: Aruba e sicurezza dati

di Gioacchino Friscia -

Salve Lorenzo,

l'ultima curiosità...

modificando il file .htaccess,quindi aggiungendo la direttiva "Deny from all", la protezione dovrebbe funzionare anche su host Windows?

Grazie

Media dei voti:  -
In riposta a Gioacchino Friscia

Re: Aruba e sicurezza dati

di Ivano Flamigni -
Ho installato su Aruba moodle e tutto sembra funzionare perfettamente, salvo questo avvertimento, che compare nella pagina dell'amministratore, che vi copio:
-----------------
La configurazione del tuo sito potrebbe non essere al sicuro. Accertati che la tua cartella dataroot (/web/htdocs/www.miosito.com/home/moodle/moodledata) non sia direttamente accessibile via web.
------------------
nella cartella ..../moodledata, a seguito di questo avvertimento e dopo aver letto alcuni messaggi nel forum, ho modificato il file .htaccess (forse scritto durante l'installazione), che conteneva 2 righe:
deny from all
AllowOverride None
togliendo la seconda riga, come appunto consigliato nei messaggi letti. Aggiungo che non mi e' possibile accedere al sito con il /login, come indicato da altri messaggi per modificare i files .htaccess.
L'avvertimento e' tutt'ora presente. Cosa posso fare per risolvere questo piccolo problema?

Grazie per l'aiuto
Ivano Flamigni
Media dei voti:  -
In riposta a Ivano Flamigni

L'intervento è stato rimosso

Il contenuto di questo forum è stato rimosso e non può più essere visualizzato.
In riposta a Utente eliminato

Re: Aruba e sicurezza dati

di Gioacchino Friscia -

Salve Emanuela,

anche tu sei su hosting Linux?

Grazie

Media dei voti:  -
In riposta a Gioacchino Friscia

L'intervento è stato rimosso

Il contenuto di questo forum è stato rimosso e non può più essere visualizzato.
In riposta a Utente eliminato

Re: Aruba e sicurezza dati

di Ivano Flamigni -
Il problema sembra proprio di Aruba e Hosting Linux, anche io sono in quelle condizioni.
E' probabilmente un problema di permessi delle cartelle, che su aruba non sono gestibili "a piacimento". Speriamo che qualche guru ne sappia di piu', e se non ci sono problemi reali di sicurezza, come spero, ci rassicuri ....

In attesa di guru...

Ciao Ivano

Media dei voti:  -
In riposta a Ivano Flamigni

Re: Aruba e sicurezza dati

di Lorenzo Nicora -
Il file .htaccess (attenzione al punto iniziale) con "Deny from all" dovrebbe fare in modo che Apache non serva direttamente qualunque file presente in quella cartella o in sottocartelle indipendentemente dai permessi.

I permessi non c'entrano nulla.
Il server Apache deve essere in grado di leggere e scrivere il contenuto della moodledata (altrimenti Moodle non funziona), ma non deve in nessun caso "servire" direttamente i file contenuti.
Sono due cose diverse.

Quindi se sull'hosting Linux Aruba viene interpretata la direttiva Deny in .htaccess, questo dovrebbe essere ragionevolmente sufficente.

Il mio dubbio sul fatto che venga o meno interpretato dipende dal fatto ne nella configurazione di Apache impostata a livello di server potrebbe essere detto di ignorare alcune o tutte le direttive nei file .htaccess delle directory utente.

L.


Media dei voti:  -
In riposta a Lorenzo Nicora

Re: Aruba e sicurezza dati

di Ivano Flamigni -
Proprio sul fatto dell'interpretazione della direttiva Deny, ho fatto una prova veloce: messo nella dir moodledata con ftp un file di testo, ho provato a visualizzarlo con Firefox scrivendo l'indirizzo completo. E la risposta e' stata:

Forbidden

You don't have permission to access /moodle/moodledata/htaccess_old on this server.

Ne presumo che il server di Aruba interpreta correttamente la direttiva e che quel warning lo possiamo lasciar perdere, almeno cosi' interpreto io la questione.

Qualcuno dice che sono troppo ottimista?

Buona giornata a tutti
Ivano

Media dei voti:  -
In riposta a Ivano Flamigni

Re: Aruba e sicurezza dati

di Lorenzo Nicora -
Si, questo dovrebbe significare proprio che la cartella è protetta dall'accesso diretto via web.
Su un server configurato correttamente questo dovrebbe bastare.

Lorenzo


Media dei voti:  -