На этой вкладке вы можете протестировать свою систему на предмет основных проблем безопасности. Нажмите Проверить безопасность и дождитесь ответа системы. Если напротив каждого теста вы увидите надпись "Тест пройден", то система настроена правильно. Если какой-то из тестов был провален, то после устранения неполадки можно запустить его повторно, нажав "Тест провален" напротив соответствующего теста.
Назначение тестов:
| Протокол UFS закрыт | Проверяет наличие у пользователей доступа к протоколу UFS по HTTP (настраивается в файле config.ini). |
| Протокол UObject закрыт | Проверяет наличие у пользователей доступа к протоколу UObject по HTTP (настраивается в файле config.ini). |
| Подключение к БД не под root-ом | Проверяет, что доступ к базе данных осуществляется не из root-аккаунта. |
| Пароль для БД не пустой | Проверяет, что доступ к базе данных осуществляется с непустым паролем. |
| Доступ к файлу конфигурации закрыт | Проверяет, что config.ini недоступен для чтения извне. |
| Доступ к системным папкам закрыт | Проверяет, что папка /classes недоступна извне. |
| Выполнение php скриптов в /files/ | Проверяет доступность исполнения php-файлов в директории files. |
| Доступ к файлу php_for_del_connector.php | Проверяет наличие у пользователей доступа к файлу php_for_del_connector.php. |
| Сайт защищен от CSRF-атак | Проверяет, включена ли настройка csrf_protection в файле config.ini |
| Сайт защищен от CSRF-атак | Проверяет, включена ли настройка "Проверять CSRF-токен при изменении настроек пользователя" в модуле "Пользователи" |
|
Включена настройка "При изменении настроек пользователя нужно запрашивать его пароль" в модуле "Пользователи" |
Проверяет, включена ли настройка "При изменении настроек пользователя нужно запрашивать его пароль" в модуле "Пользователи" |
Подробнее данные тесты описываются в статье на нашем wiki-ресурсе: Аудит безопасности системы