Уважаемые разработчики. Представьте себе ситуацию. Есть сайт. Мы закрываем сайт на обслуживание(для того что переустановить Bitrix ENV на сервере например). Делаем бэкап, сносим сервер, ставим заново Bitrix ENV. И вуаля - пользователям сайта позволено загружать на сервер все что угодно с помощью средств восстановления, которые находятся в открытом доступе на месте старого сайта.
Пожалуйста. Сделайте хотя бы index.php в /home/bitrix/www пустым.
Админ способный поставить bitrix env , уж как нибудь запустит [URL=http://www.site.ru/restore.php]www.site.ru/restore.php[/URL] или [URL=http://www.sire.ru/bitrixsetup.php]www.sire.ru/bitrixsetup.php[/URL] в ручную.
А еще лучше запарольте эти файлы случайно сгенерированным паролем в момент установки bitrix env.
Уже столько лет такая дырища открыта.
p.s. да, можно firewall'ом на время установки крыть все остальные IP , но это геммор дополнительный. Зачем тогда делать скрипт автоустановки? Чтобы было удобно , верно? Тем более, что сделать index.php пустым - это плевое дело, на которое нужно 3.5 секунды разработчиков.
Сделайте пожалуйста. Это же очень логично. Я думаю любой админ меня поддержит в этом.
Спасибо.
[B][SIZE=16pt]ВРЕМЕННОЕ РЕШЕНИЕ, ЕСЛИ КОМУ НАДО:[/SIZE]
[/B]Перед установкой окружения, редактируем скрипт установки, скачанный с [B][URL=http://repos.1c-bitrix.ru/yum/bitrix-env.sh]http://repos.1c-bitrix.ru/yum/bitrix-env.sh[/URL]
[/B]В самом конце, перед [CODE]print "Bitrix Environment $BX_PACKAGE installation is completed." 1
[/CODE][B]добавляем:[/B][B]
[/B][CODE]cd /home/bitrix/www/
cat restore.php | sed 's/restore.php/restore-xxxxx.php/' > restore-xxxxx.php
cat bitrixsetup.php > setup-xxxxx.php
rm restore.php
rm bitrixsetup.php
cat /dev/null > index.php[/CODE] xxxxx - поменяйте на свой произвольный код.
После установки следовательно запускаем в браузере.
[URL=http://ВАШСАЙТ.ru/restore-xxxxx.php]http://ВАШСАЙТ.ru/restore-xxxxx.php[/URL]
[URL=http://ВАШСАЙТ.ru/setup-xxxxx.php]http://ВАШСАЙТ.ru/setup-xxxxx.php[/URL]
Пожалуйста. Сделайте хотя бы index.php в /home/bitrix/www пустым.
Админ способный поставить bitrix env , уж как нибудь запустит [URL=http://www.site.ru/restore.php]www.site.ru/restore.php[/URL] или [URL=http://www.sire.ru/bitrixsetup.php]www.sire.ru/bitrixsetup.php[/URL] в ручную.
А еще лучше запарольте эти файлы случайно сгенерированным паролем в момент установки bitrix env.
Уже столько лет такая дырища открыта.
p.s. да, можно firewall'ом на время установки крыть все остальные IP , но это геммор дополнительный. Зачем тогда делать скрипт автоустановки? Чтобы было удобно , верно? Тем более, что сделать index.php пустым - это плевое дело, на которое нужно 3.5 секунды разработчиков.
Сделайте пожалуйста. Это же очень логично. Я думаю любой админ меня поддержит в этом.
Спасибо.
[B][SIZE=16pt]ВРЕМЕННОЕ РЕШЕНИЕ, ЕСЛИ КОМУ НАДО:[/SIZE]
[/B]Перед установкой окружения, редактируем скрипт установки, скачанный с [B][URL=http://repos.1c-bitrix.ru/yum/bitrix-env.sh]http://repos.1c-bitrix.ru/yum/bitrix-env.sh[/URL]
[/B]В самом конце, перед [CODE]print "Bitrix Environment $BX_PACKAGE installation is completed." 1
[/CODE][B]добавляем:[/B][B]
[/B][CODE]cd /home/bitrix/www/
cat restore.php | sed 's/restore.php/restore-xxxxx.php/' > restore-xxxxx.php
cat bitrixsetup.php > setup-xxxxx.php
rm restore.php
rm bitrixsetup.php
cat /dev/null > index.php[/CODE] xxxxx - поменяйте на свой произвольный код.
После установки следовательно запускаем в браузере.
[URL=http://ВАШСАЙТ.ru/restore-xxxxx.php]http://ВАШСАЙТ.ru/restore-xxxxx.php[/URL]
[URL=http://ВАШСАЙТ.ru/setup-xxxxx.php]http://ВАШСАЙТ.ru/setup-xxxxx.php[/URL]
