Accueil Téléchargements Forums Votre compte   Identification ou Devenez membre   FAQ Rechercher Liste des Membres Groupes d'utilisateurs Profil Connexion Se connecter pour vérifier ses messages privés Chez stefvar Index du Forum -> Archives PHP-Nuke » Sécurité Authentification Sentinel [RESOLU] Voir le sujet précédent :: Voir le sujet suivant   Auteur Message Lorand Expert Inscrit le: Apr 08, 2006 Messages: 1037 Localisation: La Rochelle Posté le: 04 Jul 2006, 12:22    Sujet du message: Authentification Sentinel [RESOLU] Hello Je vois assez souvent des questions concernant l'authentification pour accèder à l'admin après l'installation de Sentinel. Je me permets donc de proposer ci-dessous un petit récapitulatif de la procédure. 1°) En tant que "Admin Dieu", effectuez un scan des nouveaux admins 2°) Mettez en place des mots de passe pour les différents admins dans Sentinel (menu NukeSentinel™ Administration puis "Authentification HTTP"). Une fois terminé, si vous n'êtes pas sûr du chemin à indique dans le fichier .htaccess (bien que celui-ci soit affiché dans la "Configuration Générale" de Sentinel, créez un fichier avec le nom de votre choix (exemple : chemin.php) et indiquez ceci à l'intérieur : Citation: <? echo realpath('chemin.php'); ?> Placez ce fichier la racine de votre Ftp et lancez ce lien sur votre navigateur : Citation: http://www.votresite.com/chemin.php Vous aurez ainsi le chemin qui s'affichera, du genre : /home/www/5458922dddf85/web/chemin.php 3°) Editez votre fichier .htaccess placé à la racine de votre Ftp et ajoutez ceci : Citation: # ------------------------------------------- # Start of NukeSentinel(tm) admin.php Auth # ------------------------------------------- <Files .ftaccess> deny from all </Files> <Files .staccess> deny from all </Files> <Files admin.php> <Limit GET POST PUT> require valid-user </Limit> AuthName "Accès restreint" AuthType Basic AuthUserFile /home/www/5458922dddf85/web/.staccess </Files> # ------------------------------------------- # Start of NukeSentinel(tm) DENY FROM area # ------------------------------------------- La ligne "AuthUserFile /home/www/5458922dddf85/web/.staccess" reprend donc le chemin trouvé dans le cas 2° ci-dessus. Dans cet exemple, le fichier .staccess contenant votre/vos mot(s) de passe se situe à la racine de votre site mais vous pouvez le mettre dans un répertoire différent. Pensez simplement à rajouter ce répertoire dans le chemin. 4°) Encryptez votre/vos mot(s) de passe définis dans le cas 2° ci-dessus, vous trouverez de quoi encrypter par exemple sur ce lien : Encryptage avec un petit outil situé en bas de page. 5°) Placez ensuite le/les encryptages dans votre fichier .staccess, ce qui donnera par exemple : Citation: Lorand:ffqtZ7Jfr3aZ2 Ce n'est pas grand chose mais j'espère que ça permettra d'aider un peu certains membres Revenir en haut de page Archives Inscrit le: Messages: -12 Posté le: 08 Oct 2006, 2:01    Sujet du message: Re : Authentification Sentinel bonsoir ; et oui zencore moi!!! 2 questions 1/sur le repertoire Import doit on importer tous les sql ? 2/ que contient ou doit contenir le fichier .ftaccess ? le .staccess lui contient >> lenom:pwdcripté le .htaccess lui contient le code cité Code: # ------------------------------------------- # Start of NukeSentinel(tm) admin.php Auth # ------------------------------------------- <Files .ftaccess> deny from all </Files> <Files .staccess> deny from all </Files> <Files admin.php> <Limit GET POST PUT> require valid-user </Limit> AuthName "Accès restreint" AuthType Basic AuthUserFile /home/www/5458922dddf85/web/.staccess </Files> # ------------------------------------------- # Start of NukeSentinel(tm) DENY FROM area # ------------------------------------------- merci stefvar pour l'install de sentinel ya juste que le mainfile.php qui prete un peu à confusion car certain codes nesont par écrit pareil sous la 8.0 entre autre : Code: # #-----[ original 8.0 ]------------------------------------------ # //Union Tap //Copyright Zhen-Xjell 2004 http://nukecops.com //Beta 3 Code to prevent UNION SQL Injections unset($matches); unset($loc); if(isset($_SERVER['QUERY_STRING'])) {    if (preg_match("/([OdWo5NIbpuU4V2iJT0n]{5}) /", rawurldecode($loc=$_SERVER['QUERY_STRING']), $matches)) {        die('Illegal Operation');      } } // This block of code makes sure $admin and $user are COOKIES if((isset($admin) && $admin != $_COOKIE['admin']) OR (isset($user) && $user != $_COOKIE['user'])) {    die("Illegal Operation"); } # #-----[ changé par ]------------------------------------------ # //Union Tap //Copyright Zhen-Xjell 2004 http://nukecops.com //Beta 3 Code to prevent UNION SQL Injections /* // modification pour sentinel unset($matches); unset($loc); if(isset($_SERVER['QUERY_STRING'])) {    if (preg_match("/([OdWo5NIbpuU4V2iJT0n]{5}) /", rawurldecode($loc=$_SERVER['QUERY_STRING']), $matches)) {        die('Illegal Operation');      } }  */ // This block of code makes sure $admin and $user are COOKIES if((isset($admin) && $admin != $_COOKIE['admin']) OR (isset($user) && $user != $_COOKIE['user'])) {    die("Illegal Operation"); } moi j'ai viré ce qui est entre /* et */ jsais pas si c'est bon on verra ça d'ici peu , jvais même ouvrir une bouteille pour fêter ça si ça marche du premier coup !!! >> 3 jours d'agonie à vouloir l'installer bouteille d'eau bien sur !! EDIT: quelque temps après ..... Super , Génial , Fantastique >>> ça marche !!!! c'est beau .....et !!!? au fait; comment on s'en sert ?? non, je blague allez bonne nuit à tous, moi je me va configurer le bestiau !! Dernière édition par Archives le 08 Oct 2006, 20:03; édité 1 fois Revenir en haut de page stefvar Administrateur Inscrit le: Jul 06, 2005 Messages: 8361 Localisation: France Corse Ventiseri Posté le: 08 Oct 2006, 7:55    Sujet du message: Re : Authentification Sentinel Bonjour, Citation: 1/sur le repertoire Import doit on importer tous les sql ? Oui tu dois envoyer sur ton serveur tout le répertoire import contenant les fichiers xxxx.data. Maintenant pour ce qui est de tous les importer dans la base de données, c'est à toi de voir. Fait le au besoin lorsqu'une adresse IP n'est pas reconnue. Citation: 2/ que contient ou doit contenir le fichier .ftaccess ? Ce fichier est destiné à recevoir les informations sur la fonction antiflood de sentinel si cette dernière est activée. Par contre pour le mainfile, il faut mettre en commentaire les codes suivants : Code: //Union Tap //Copyright Zhen-Xjell 2004 http://nukecops.com //Beta 3 Code to prevent UNION SQL Injections //unset($matches); //unset($loc); //if(isset($_SERVER['QUERY_STRING'])) { //   if (preg_match("/([OdWo5NIbpuU4V2iJT0n]{5}) /", rawurldecode($loc=$_SERVER['QUERY_STRING']), $matches)) { //       die('Illegal Operation'); //     } //} Code: // Additional security (Union, CLike, XSS) //if(isset($_SERVER['QUERY_STRING']) && (!stripos_clone($_SERVER['QUERY_STRING'], "ad_click"))) { //   $queryString = $_SERVER['QUERY_STRING']; //    if (stripos_clone($queryString,'%20union%20') OR stripos_clone($queryString,'/*') OR stripos_clone($queryString,'*/union/*') OR stripos_clone($queryString,'c2nyaxb0') OR stripos_clone($queryString,'+union+') OR (stripos_clone($queryString,'cmd=') AND !stripos_clone($queryString,'&cmd')) OR (stripos_clone($queryString,'exec') AND !stripos_clone($queryString,'execu')) OR stripos_clone($queryString,'concat')) { //       die('Illegal Operation'); //    } //} //$postString = ""; //foreach ($_POST as $postkey => $postvalue) { //    if ($postString > "") { //     $postString .= "&".$postkey."=".$postvalue; //    } else { //     $postString .= $postkey."=".$postvalue; //    } //} //str_replace("%09", "%20", $postString); //$postString_64 = base64_decode($postString); //if (stripos_clone($postString,'%20union%20') OR stripos_clone($postString,'*/union/*') OR stripos_clone($postString,' union ') OR stripos_clone($postString_64,'%20union%20') OR stripos_clone($postString_64,'*/union/*') OR stripos_clone($postString_64,' union ') OR stripos_clone($postString_64,'+union+')) { //   header("Location: index.php"); //   die(); //} Code: //if (!defined('ADMIN_FILE')) { //     foreach ($_GET as $sec_key => $secvalue) { //       if ((eregi("<[^>]*script*\"?[^>]*>", $secvalue)) || //      (eregi("<[^>]*object*\"?[^>]*>", $secvalue)) || //      (eregi("<[^>]*iframe*\"?[^>]*>", $secvalue)) || //      (eregi("<[^>]*applet*\"?[^>]*>", $secvalue)) || //      (eregi("<[^>]*meta*\"?[^>]*>", $secvalue)) || //      (eregi("<[^>]*style*\"?[^>]*>", $secvalue)) || //      (eregi("<[^>]*form*\"?[^>]*>", $secvalue)) || //      (eregi("<[^>]*img*\"?[^>]*>", $secvalue)) || //      (eregi("<[^>]*onmouseover*\"?[^>]*>", $secvalue)) || //      (eregi("<[^>]*body*\"?[^>]*>", $secvalue)) || //      (eregi("\([^>]*\"?[^)]*\)", $secvalue)) || //      (eregi("\"", $secvalue)) || //      (eregi("inside_mod", $sec_key))) { //           die ($htmltags); //        } //   } //   foreach ($_POST as $secvalue) { //       if ((eregi("<[^>]*onmouseover*\"?[^>]*>", $secvalue)) || //       (eregi("<[^>]script*\"?[^>]*>", $secvalue)) || //       (eregi("<[^>]*body*\"?[^>]*>", $secvalue)) || //       (eregi("<[^>]style*\"?[^>]*>", $secvalue))) { //          die ($htmltags); //       } //     } //} _________________ Avant de poster, lire la charte du forum, merci. Revenir en haut de page Archives Inscrit le: Messages: -12 Posté le: 08 Oct 2006, 20:08    Sujet du message: Re : Authentification Sentinel merci Stefvar j'ai corrigé le mainfile , ça fonctionne super bien , parcontre j'aimerai éditer les messages quand on passe le site en travaux , les messsages sont en anglais j'aimerai les passer en fr. c'est à quel niveau pour les editer merci Revenir en haut de page stefvar Administrateur Inscrit le: Jul 06, 2005 Messages: 8361 Localisation: France Corse Ventiseri Posté le: 08 Oct 2006, 20:10    Sujet du message: Re : Authentification Sentinel Re, Les messages sont les fichiers xxx.tpl qui se trouvent dans le répertoire abuse _________________ Avant de poster, lire la charte du forum, merci. Revenir en haut de page Archives Inscrit le: Messages: -12 Posté le: 20 Nov 2006, 15:31    Sujet du message: Re : Authentification Sentinel Bonjour, Je tiens tout d'abord à vous remerciez pour le tuto français de l'installation de sentinel. Mais il se trouve que j'ai fait une boulette...et je ne trouve plus comment m'en sortir (en éperant qu'il ne soit pas trop tard!) J'ai suivi le tuto et tout s'est dérouler normalement. Une fois dans l'admin de sentinel, j'ai mis les chemin vers les fichier access (mais je n'avais pas encore vu ce topic alors j'ai juste entrer .htaccess, le fichier étant à la racine de mon site), et j'ai selectionner l'option pour les admins. S'en suis une erreur interne de serveur que j'ai réglé en virant les fichier .htaccess, .ft... et .st... mais maintenant je ne peux plus revenir à la page admin (access denied) de mon site... Je suis désolé si ce cas à déjà été expliqué dans d'autre topic mais je n'ai rien trouvé... Une bonne ame aurait elle une solution ou au moins une explication de mon problème? N'hésitez pas à me demander s'il vous manque des infos... Merci d'avance! Tybo Revenir en haut de page stefvar Administrateur Inscrit le: Jul 06, 2005 Messages: 8361 Localisation: France Corse Ventiseri Posté le: 20 Nov 2006, 15:38    Sujet du message: Re : Authentification Sentinel Bonjour, Rend toi dans la table nuke_nsnst_config et met 0 au champ http_auth. _________________ Avant de poster, lire la charte du forum, merci. Revenir en haut de page Archives Inscrit le: Messages: -12 Posté le: 20 Nov 2006, 15:47    Sujet du message: Re : Authentification Sentinel C'est déjà le cas... (et merci de la rapidité de la réponse!) Revenir en haut de page stefvar Administrateur Inscrit le: Jul 06, 2005 Messages: 8361 Localisation: France Corse Ventiseri Posté le: 20 Nov 2006, 15:50    Sujet du message: Re : Authentification Sentinel Re, Bizarre, le nom de ton domaine est bien présent dans ton fichier admin.php ? _________________ Avant de poster, lire la charte du forum, merci. Revenir en haut de page Archives Inscrit le: Messages: -12 Posté le: 20 Nov 2006, 15:55    Sujet du message: Re : Authentification Sentinel Re, Non, mais ça ne posait pas de problème avant... où devrait-il apparaitre? Revenir en haut de page stefvar Administrateur Inscrit le: Jul 06, 2005 Messages: 8361 Localisation: France Corse Ventiseri Posté le: 20 Nov 2006, 15:57    Sujet du message: Re : Authentification Sentinel Re, En début de fichier avec un code qui ressemble à celà : Code: $domainname = "www.TON_DOMAINE.COM"; if ($_SERVER['SERVER_NAME'] != $domainname ) { echo "Access denied"; die(); } As tu aussi supprimé ton htaccess ? _________________ Avant de poster, lire la charte du forum, merci. Revenir en haut de page Archives Inscrit le: Messages: -12 Posté le: 20 Nov 2006, 16:09    Sujet du message: Re : Authentification Sentinel Re, htaccess a dégagé, oui. En fait, j'avais ça : Code: define('ADMIN_FILE', true); if(isset($aid)) {   if(!empty($aid) AND (!isset($admin) OR empty($admin)) AND $op!='login') {     unset($aid);     unset($admin);     die("Access Denied");   } } require_once("mainfile.php"); //Uncomment the following lines after setting the site url in the Administration global $nukeurl; if (!stripos_clone($_SERVER['HTTP_HOST'], $nukeurl)) {   die("Access denied"); } Et je viens de mettre les dernières lignes en commentaire. Je peux donc de nouveau acceder à l'administration. J'ai donc respécifier le chemin du site dans l'administration, retirer les commentaire dans le fichier admin.php et ça marche. Merci de m'avoir fait penser à ça! Par contre je ne saisi pas bien l'utilité des fichier htaccess et autre... Dois-je me lancer dans la démarche du premier post? Revenir en haut de page stefvar Administrateur Inscrit le: Jul 06, 2005 Messages: 8361 Localisation: France Corse Ventiseri Posté le: 20 Nov 2006, 16:12    Sujet du message: Re : Authentification Sentinel Re, Si tu veux protéger ton administration il est indispensable de mettre le htaccess et staccess et d'activer l'authentification auth dans Sentinel. _________________ Avant de poster, lire la charte du forum, merci. Revenir en haut de page Archives Inscrit le: Messages: -12 Posté le: 20 Nov 2006, 16:26    Sujet du message: Re : Authentification Sentinel Ok... Mais je n'ai le choix qu'entre "désactivé" et "administration du CGIAuth" dans Authentification admin... est-ce normal? EDIT : OK... je suppose que c'est parce que je ne suis pas Dieu... Revenir en haut de page stefvar Administrateur Inscrit le: Jul 06, 2005 Messages: 8361 Localisation: France Corse Ventiseri Posté le: 20 Nov 2006, 18:05    Sujet du message: Re : Authentification Sentinel Re, Bien supposé, certaines fonctions de Sentinel ne sont accéssibles qu'au compte "God". Lorsque tu rajoutes ton htaccess et staccess, pense à mettre ce dernier dans un répertoire protégé tout comme on le fait pour le fichier config.php . _________________ Avant de poster, lire la charte du forum, merci. Revenir en haut de page Archives Inscrit le: Messages: -12 Posté le: 20 Nov 2006, 18:23    Sujet du message: Re : Authentification Sentinel Re, Peut-être vais-je paraitre un peu boulet mais d'après ce que j'ai compris, sentinel peut marcher sans toutes ces démarches... que peut-il arriver à mon site si je ne fais rien? (Comment mettre les fichiers dans un repertoire protégé? ) Et encore merci! Revenir en haut de page stefvar Administrateur Inscrit le: Jul 06, 2005 Messages: 8361 Localisation: France Corse Ventiseri Posté le: 20 Nov 2006, 18:31    Sujet du message: Re : Authentification Sentinel Re, Sentinel peut très bien fonctionner sans tout cela mais vu les temps qui courent, il vaut mieux mettre toutes les chances de ton côté. Une authentification auth est bien plus efficace qu'un authentification par cookies. Pour la protection du staccess, reporte toi à ce tutorial, le principe est le même : http://www.stefvar.com/phpnuke-tutoriaux-d48.html _________________ Avant de poster, lire la charte du forum, merci. Revenir en haut de page Archives Inscrit le: Messages: -12 Posté le: 22 Nov 2006, 15:57    Sujet du message: Re : Authentification Sentinel [RESOLU] Re, En fait le problème "Access Denied" est revenu, alors je suis obligé de laisser les commentaires sur les dernières lignes du quote, dans admin.php... Pour l'authentification, j'ai demander à l'admin Dieu ce qu'il avait et il n'a aussi le choix qu'entre "désactivé ou "Administration CGIAuth"... Je ne comprend pas tout! Revenir en haut de page stefvar Administrateur Inscrit le: Jul 06, 2005 Messages: 8361 Localisation: France Corse Ventiseri Posté le: 22 Nov 2006, 16:19    Sujet du message: Re : Authentification Sentinel [RESOLU] Bonjour, Il ne peut pas revenir tout seul, tu as du faire quelque chose qui fait que... Pense que pour avoir toutes les options dans NSN Sentinel il faut obligatoirement avoir le compte administrateur God. _________________ Avant de poster, lire la charte du forum, merci. Revenir en haut de page Archives Inscrit le: Messages: -12 Posté le: 01 Feb 2007, 23:35    Sujet du message: Re : Authentification Sentinel [RESOLU] Ce sujet date un peu mais je viens seulement de me repencher sur le problème. Donc voici la solution (en anglais) : "http://yoursite.com is actually wrong. The script in mainfile.php adds http:// in front of the Site URL, so be sure that in the site administrator menu, the Site URL is only yoursite.com. " Voilà! Revenir en haut de page Montrer les messages depuis: Tous les messages1 Jour7 Jours2 Semaines1 Mois3 Mois6 Mois1 An Le plus ancien en premierLe plus récent en premier         Chez stefvar Index du Forum -> Archives PHP-Nuke » Sécurité Toutes les heures sont au format GMT + 2 Heures Page 1 sur 1   Sauter vers: Sélectionner un forum PHP-Minimus----------------GénéralInstallationModules-- Articles-- Forums-- Gestion des comptes-- Téléchargements-- WikiThèmes SV_PSN----------------InstallationMise à jourAdministration-- Cache-- Meta_dynamique-- Renomme tables-- EditeurModules-- Compte-- Donations-- Téléchargement-- Statistiques-- Sondage-- ForumBlocs Le bar du coin----------------Le site Stefvar-- Bêta tests-- Demande de suppression de compte-- L'équipe du site-- Les projets en cours-- Signaler un problème-- Souhait de rubrique-- Tutoriaux-- Votre avisLe bar du coin-- Présentations-- Bêtisier-- Vos expériencesURL rewriting-- URL rewriting propositionsLes sites-- Hébergement-- Les sites sans copyright-- Les sites hébergeant des scripts d'attaqueLogicielsOffre hébergement-- MavenhostingSujets non conforme aux règles des forums Forums publics----------------Espace public Archives----------------Archives PHP-Nuke-- Bug - Fix-- Blocks-- Général-- Installation-- Mods-- Modules-- Recherche-- Sécurité-- Thêmes-- Traductions-- NSN Groups-- NSN News 2.0.0-- NSN SentinelArchives réalisation de l'équipe-- ESV HTML-- ESV_Livre d'or-- ESV PHP-Nuke-- ESV Utilisateurs-- ESV Autres-- Blocs-- Modules-- Thèmes  Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum Animé par phpBB © 2007 -:- Thème iCGstation PHP-Nuke par nukemods.com Traduction par : phpBB-fr.com -:- Adapté par stefvar Inscriptions bloqués / messages: 0 / 0 Forums © Syndiquez notre contenu RSS, Atom, etc.. PHP-Nuke © 2007 Reproduction interdite sans autorisation de ma part www.stefvar.com Copyright © 2008 Thème iCGstation