Lighttpd: .htaccess || config.php

Как заблокировать доступ к config.php wordpress'а и прочих CMS

Как ввести запрос в Google?

И самое главное: зачем?

Исполняемые файлы на то и исполняемые. Их не скачать и не прочитать. Обезопасить можно с помощью прав на каталоги и файлы.

Htaccess апача наизусть помню
А для lighttpd не знаю

Всякие cms читают логин/пасс к mysql из config.php
Этот конфиг легко скачивается wget'ом

Всякие cms читают логин/пасс к mysql из config.php

Так это понятно, оно так и должно быть.

Этот конфиг легко скачивается wget'ом

Это неверный конфиг в таком случае.

Этот конфиг легко скачивается wget'ом

Вы отдаете его по ftp?

Ну wget'от не получается, но злоумышленник же сможет получить доступ? Там же пасс от mysql тупо текстом :(

Так получается или не получается? Вы уже определитесь.

Htaccess апача наизусть помню
А для lighttpd не знаю

Какая нелепая отмазка для того чтобы не учиться гуглить.

Можно как-то получить этот конфиг? В lighttpd ничего не настроено
Доступ к файлу не запрещен
Когда делаю wget - сервер исполняет этот файл и на выходе ПУСТОТА

Ну вот потому там открытым текстом пароль и написан что как ты его не исполняй на выходе пустота.

Получить можно через другой дырявый скрипт либо через ftp/ssh или любой другой компонент с уязвимостью.

Если так мучает тот факт что файл лежит в папке доступной из веба то используйте такие cms у которых вся конфигурация лежит за пределами webroot. Разницы конечно никакой но если вам так спокойнее.

на обычном я поднимал в xampp и доступ к файлу тупо блокировал
просто слегка параноит

ну так и чего ж ты хочешь? чтобы на выходе что-то было ? :)

Htaccess апача наизусть помню А для lighttpd не знаю

:)

тупо, это как интересно

:)

Я знаю, как ограничить доступ к файлу в Apache
А как это делается в LigHTTPd я не знаю :(
В интернете нормальных манов нету :(

В .htaccess Deny from all

ню ню, и как же тогда потом смс у тебя работала ?

смс

CMS? Просто - она читала файл, локально

В интернете нормальных манов нету :(

Да, конечно.

В lighttpd как и в нжинксе все в конфиге пишется.

Буду рад, если мне поможешь найти ман/туториал/howto как ограничить доступ к файлам и директориям в lighttpd
еще что-то типа .htaccess для lighttpd, чтобы было проще
А то пиши в конфиг, перезапускай

Вот именно
Там еще и сложноватый синтаксис
Апач в этом плане в разы проще и удобнее

Буду рад, если мне поможешь найти ман/туториал/howto как ограничить доступ к файлам и директориям в lighttpd

В первом комментарии есть ссылка, пробовал нажимать?

Как-то так. http://lmgtfy.com/?q=lighttpd deny access to file

Апач в этом плане в разы проще и удобнее

Ну так поставь апач, если все так сложно.

Ты меня не понял, я хочу не в lighttpd.conf, а типа .htaccess

Он будет потяжелее lighttpd, и так ресурсы ограничены
А там еще и 100500 всякого дерьма
И это все разгребать
И компилять под ARMv7, геморой. Он же тяжелый

Это ты не понял, если взял lighttpd то будет именно в lighttpd.conf и никак иначе.

Легковесность по твоему сама собой достигается? Выпиливется избыточный функционал, упрощается = быстрее и легче но меньше фич.

Мне этой фичи только не хватает

Ты меня не понял, я хочу не в lighttpd.conf, а типа .htaccess

Пришло время делать выбор! Выбор сам себя не сделает! Сделай выбор:

• $$$ за впиливание в lighttpd кода, позволяющего использовать Apache'вский .htaccess
• «Тяжелый» апач, но зато с .htaccess, который ты «наизусть помнишь»
• «Легкий» lighttpd, но необходимость назобраться с его конфигурацией (ссылки тебе уже привели не один раз)

Отвыкай. Меня эта фича раздражает, потому что раскладывать конфигурацию сервера в 100500 мест это глупость. Это было актуально когда сервер работал от имени системного пользователя, были включены homedir и каждый мог себе выставить настройки, в твоем же случае это просто избыточно.

выбираю 3

Сможет, если есть баг/дырка/фича/whatever в cms. В таком случае все .htaccessы идут нафиг, так как будет доступ к файлам со стороны сервера. И тут пароль от бд, уже не самое страшное.

Да это то да, мне просто конфиги хочется скрыть
Вот еще стоит ampache, mybb и ее хочу понаставить потыкать

Не понимаю смысла скрывать конфиги. Через http их не забрать, а если найдется отверстие в cms, то эти конфиги уже не играют никакой роли, можно будет слить что угодно получив права юзера из под которого исполняется php.

Отключение поиска файлов .htaccess в директориях является одним из трюков оптимизации производительности апача. В lighttpd такого функционала нет и не будет.

Этот конфиг легко скачивается wget'ом

Если веб-сервер отдаёт php файлы как файлы, а не выполняет как скрипты то никакой wp и прочие cms у тебя работать всё-равно не будут, а если php файлы выполняются как скрипты, то можешь в них логин и пароль хоть от интернет банкинга писать, главное не в параметрах функции print (:

Похапэшные CMSки не читаю параметры из config.php, они его выполняют, а от устанавливает нужные переменные.

Да знаю, что php исполняется
Ну просто параноя была, че эт пароль текстом прописан

А как ему ещё быть прописанным если его нужно мускую передавать? Дибо открытым текстом, либо обратимо изменённым (а это то-же самое).

Хз)) ну в /etc/passwd же не текстом)

В /etc/passwd вообще паролей нет, пароли в /etc/shadow (если у тебя не так то тебе срочно нужно обновлять дистр, уже лет пятнадцать как).
В /etc/shadow пароли (хэши паролей) не для предъявления кому-то, а для проверки предъявленных кем-то. Улавливаешь разницу?
Например я мускуль (или линукс, не важно) и я знаю что пароль вевь волосатый, первая буква у него «х», а последняя «й», а ты клиент и ты говоришь мне что пароль «хемингуэй» (а ты что подумал?), я проверяю подходит-ли «хемингуэй» под известные мне характеристики и даю тебе соответствующие привилегии (или не даю, если ты сказал «пушкин»).
Только в реальной жизни вместо первой и последней буквы используются криптографические хэш-функции, а подобрать строку дающую нужный хэш несколько сложнее чем найти что-то волосатое с первой буквой «х» и последней «й».

Ой, блин, стыдно такое не знать :(
Спасибо за помощь!