/ डाउनलोडर की सुरक्षा के लिए अनुशंसित विधि?

29

चूंकि Magento / डाउनलोडर का उपयोग Magento Connect Manager के माध्यम से कार्यक्रमों को सुविधाजनक रूप से स्थापित करने के तरीके के रूप में करता है, इसलिए यह स्पष्ट है कि यह सुरक्षा चिंता का विषय है क्योंकि यह बॉट्स या लोगों को इंस्टॉलेशन के लिए क्रेडेंशियल्स सीखने का प्रयास करने की अनुमति देता है।

मेरी वेबसाइट पर पहुँच लॉग की जाँच करते हुए, मुझे www.mysite.com/downloader के प्रयासों की मात्रा पर चिंता हुई

जैसा कि मैंने चारों ओर एक काम करने के लिए डाउनलोडर निर्देशिका का नाम बदलने की आदत में मिल गया है downloader.offline लेकिन कभी कभी मैं भूल जाते हैं। (या तो किसी प्रोग्राम को स्थापित करने के लिए या फिर मेरे द्वारा किए जाने के बाद उसका नाम बदलने के लिए)।

इस लिंक की सुरक्षा के लिए अनुशंसित विधि क्या है?

security magento-connect downloader

— SR_Magento
स्रोत

35

इसमें downloaderनिर्देशिका Disallow from allमें किसी भी अनुरोध को मना करने के लिए बस .htaccess (या यदि nginx / जो कुछ भी है) को निर्देशिका में रखें।

यदि आप (जैसे अपने खुद के) कुछ आईपी पते की अनुमति देना चाहते हैं, तो अपने में कुछ इस तरह का प्रयास करें .htaccess

order deny,allow
deny from all
allow from 1.2.3.4 5.6.7.8

आईपी पते कहां 1.2.3.4और 5.6.7.8किस माध्यम से आप देना चाहते हैं।

मेरा पसंदीदा तरीका: बस हटाएं downloader

— फेबियन ब्लेस्च्मिड्ट
स्रोत

1

निश्चित रूप से, कोई भी इसे एक्सेस नहीं कर सकता है। क्या Magento इस रास्ते में कनेक्ट है? फिर आपको <ip> से अनुमति देने या प्राधिकरण का उपयोग करने की आवश्यकता है

— Fabian Blechschmidt

7

या बेहतर अभी तक, डाउनलोडर का उपयोग बिल्कुल भी न करें।

— डैनियल स्लॉफ

3

बेशक! Magento कनेक्ट सिस्टम की स्थिति के विश्वसनीय प्रजनन की अनुमति नहीं देता है और संस्करण नियंत्रण प्रणाली का उपयोग करता है। मैं मोडमैन या बेहतर संगीतकार का उपयोग करने की सलाह देता हूं!

— फेबियन ब्लेसश्मिड

1

संगीतकार एफटीडब्ल्यू - फैबियन की यहां पर मौत हो गई है।

— ब्रायन 'बीजे' हॉफपॉयर जूनियर

1

डाउनलोड Magento कनेक्ट निर्देशिका है। यदि यह समस्या करता है तो यह विस्तार बहुत टूट गया लगता है?

— फेबियन ब्लेसश्मिड

17

@ Daniel-sloof की सिफारिश के साथ मैं Magento के कनेक्ट इंस्टॉलर को पूरी तरह से खोदने के लिए कहूंगा। मैं आम तौर पर .gitignoreएक नया भंडार स्थापित करते समय इसे जोड़ता हूं ।

फैबियन ने अपनी उत्तर टिप्पणियों में बताया कि इसका कारण यह है कि कनेक्ट से पैकेज किए बिना स्रोत नियंत्रण में अपने उत्पादन वातावरण की प्रतिकृति सुनिश्चित करने का कोई तरीका नहीं है। आपके द्वारा यहां खोई जाने वाली सुविधा कनेक्ट से पैकेज को अपडेट / अपग्रेड करने की क्षमता है - लेकिन अगर आपको वास्तव में उस कार्यक्षमता की आवश्यकता है, तो आप इसे हमेशा अपने देव बॉक्स पर स्थानीय रूप से कर सकते हैं और जब आप संतुष्ट होते हैं तो वे परिणाम देते हैं।

tl; डॉ:

हटाएँ /downloaderफ़ोल्डर या अपने स्रोत नियंत्रण से निकाल देंगे।

— philwinkle
स्रोत

1

हालांकि, किसी भी अधिक ./mage तक पहुँच न होने पर भी गुस्सा आना। मुझे लगता है कि ./mage installCLI कमांड केवल Magento Connect के लिए एक आवरण है। संपादित करें: वास्तव में मैं सिर्फ magerun extension:install:) का उपयोग कर सकता हूं

— इरफान

: / N98-Magerun भी एक आवरण है downloader/mage.php। मुझे लगता है कि आप अपने स्थानीय देव वातावरण में सिर्फ कॉपी / डाउनलोडर कर सकते हैं यदि आपको कुछ स्थापित करने की आवश्यकता है

— Erfan

किसी कारण के लिए, मैं केवल कभी-कभी अपने आप को चालू पाता हूं। अब मेरे विकास सर्वर पर फ़ाइल डाउनलोडर के रूप में डाउनलोड करें। यह केवल जीवित वातावरण पर अस्तित्व का कारण है पैच निर्भरताएं हैं।

— Fiasco लैब्स

6

मैं आम तौर पर डाउनलोडर निर्देशिका को हटा देता हूं, लेकिन रूट htaccess में निम्नलिखित निर्देश भी मददगार हैं:

RewriteRule ^downloader/ - [L,R=404]

जो अपाचे को 404 प्रतिसाद भेजेगा भले ही डाउनलोडर निर्देशिका मौजूद हो।

— फेबियन शेंगलर
स्रोत

मुझे यह तरीका भी पसंद है

— SR_Magento

1

सभी डाउनलोडर अनुरोधों के लिए काम नहीं करता है। कोशिशwww.mysite.com/index.php/myadminurl/index/downloader

— डेविड विल्किंस

हालाँकि, मेरी अन्य टिप्पणी में विधि वास्तव में डाउनलोडर तक नहीं पहुंच पा रही है, यह व्यवस्थापक लॉगिन के लिए सिर्फ एक शॉर्टकट (लॉन्गकट?) है। किसी को काम करने के लिए आपके व्यवस्थापक को जानना होगा। यदि आपने व्यवस्थापन प्रकटीकरण भेद्यता को पैच नहीं किया है, तो किसी को इसे प्राप्त करने की संभावना है।

— डेविड विल्किंस

मेरे लिए भी काम किया। पूर्णता

— सैंडिप

5

डाउनलोडर फ़ोल्डर का नाम बदलने के बारे में क्या? जरूरत के मामले में आसानी से "डाउनलोडर" पर वापस नाम बदला जा सकता है, अपडेट करना और आवश्यकतानुसार स्थापित करना, और फिर इसे फिर से बदलना। ऐसा लगता है यह मेरे लिए काम का होगा।

— दादा
स्रोत