config_security

На этой вкладке вы можете протестировать свою систему на предмет основных проблем безопасности. Нажмите Проверить безопасность и дождитесь ответа системы. Если напротив каждого теста вы увидите надпись "Тест пройден", то система настроена правильно. Если какой-то из тестов был провален, то после устранения неполадки можно запустить его повторно, нажав "Тест провален" напротив соответствующего теста.

Назначение тестов:

Протокол UFS закрыт Проверяет наличие у пользователей доступа к протоколу UFS по HTTP (настраивается в файле config.ini).
Протокол UObject закрыт Проверяет наличие у пользователей доступа к протоколу UObject по HTTP (настраивается в файле config.ini).
Подключение к БД не под root-ом Проверяет, что доступ к базе данных осуществляется не из root-аккаунта.
Пароль для БД не пустой Проверяет, что доступ к базе данных осуществляется с непустым паролем.
Доступ к файлу конфигурации закрыт Проверяет, что config.ini недоступен для чтения извне.
Доступ к системным папкам закрыт Проверяет, что папка /classes недоступна извне.
Выполнение php скриптов в /files/ Проверяет доступность исполнения php-файлов в директории files.
Доступ к файлу php_for_del_connector.php Проверяет наличие у пользователей доступа к файлу php_for_del_connector.php.
Сайт защищен от CSRF-атак Проверяет, включена ли настройка csrf_protection в файле config.ini
Сайт защищен от CSRF-атак Проверяет, включена ли настройка "Проверять CSRF-токен при изменении настроек пользователя" в модуле "Пользователи"

Включена настройка "При изменении настроек пользователя нужно запрашивать его пароль" в модуле "Пользователи"

Проверяет, включена ли настройка "При изменении настроек пользователя нужно запрашивать его пароль" в модуле "Пользователи"

 

Подробнее данные тесты описываются в статье на нашем wiki-ресурсе: Аудит безопасности системы