укрепление drupal для живого развертывания

Существуют ли какие-либо специальные меры безопасности, которые необходимо предпринять при развертывании сайта Drupal на рабочем сервере?

Например: я могу представить, что нам нужно удалить install.php из корневого каталога. Есть еще действия?

Или, может быть, доступен модуль, который проверяет сайт на «мировую готовность»?


deployment security production live drupal
person wasigh    schedule 20.08.2009    source источник

Ответы (6)


arrow_upward
5
arrow_downward

Отчет о состоянии на http://your-site/admin/reports/status сообщит вам, что-то не так.

На странице администрирования производительности вы можете включить различные параметры кэширования, но протестируйте свой сайт с их включением перед развертыванием.

Существует книга greggles по защите drupal, на которую стоит обратить внимание.

person Jeremy French    schedule 20.08.2009
comment
Да, это. Убедитесь, что пароль администратора какой-то бредовый, а не то, что люди запомнят, и предложите клиенту не использовать его без крайней необходимости. Также убедитесь, что настройки вашей базы данных таковы, что она принимает только соединения с локальным хостом, а также имеет такой же случайный пароль для этого соединения. - person John Fiala; 25.08.2009

arrow_upward
2
arrow_downward

В идеале вы проверили свой код на наличие ненадежности перед развертыванием, но конфигурация часто может быть упущена. Существует режим для анализа вашего сайта Drupal на предмет неправильной настройки, которая может привести к уязвимостям http://drupal.org/project/security_review< /а>

Security Review выполняет следующие проверки:

  • Безопасные разрешения для системных файлов
  • PHP в комментариях или узлах
  • Включены ли отчеты об ошибках
  • Небезопасные форматы ввода
  • Если личные файлы включены и если каталог файлов находится за пределами веб-корня
  • Разрешенные расширения загрузки
  • Разрешения администратора, предоставленные ненадежным пользователям
person bjeavons    schedule 22.04.2011

arrow_upward
1
arrow_downward

В дополнение к другим предложениям также удалите update.php.

Я бы также (повторно) переместил /scripts из корневого каталога

Это мелочь, но вы могли бы удалить текстовые файлы в корне дистрибутива, которые пропускают номер версии. Такие как CHANGELOG.txt и т. д.

Я не помню, насколько надежно cron.php защищает себя от флуда. Возможно, вы захотите выяснить, стоит ли ограничивать это только локальным доступом или доступом только к командной строке.

Убедитесь, что файлы .inc обрабатываются PHP.

person Cheekysoft    schedule 20.08.2009
comment
Мы никогда не считали необходимым удалять update.php - он запрещен для использования кем-либо, кроме пользователя-администратора 0, и если хакер имеет к нему доступ, что ж, у вас проблемы. Вам не нужно перемещать или удалять какие-либо файлы при установке drupal, и проблема с этим заключается в том, что при обновлении Drupal до следующего выпуска безопасности вы можете получить файлы в двух местах, с путаницей и ошибками. это вызвало бы. - person John Fiala; 25.08.2009
comment
Вопрос был о безопасности, а не о простоте установки. Многоуровневый подход к безопасности всегда является хорошей идеей. Как далеко вы зайдете, зависит от вас. Вы, безусловно, правы, говоря, что вам нужно повторно проверять набор файлов при каждом обновлении. Но есть несколько веских причин оставлять исполняемые файлы, которые вам не нужны, в корневом каталоге. Все дело в ограничении поверхности атаки, если в каком-либо (возможно, другом) приложении появится неизвестная уязвимость. - person Cheekysoft; 25.08.2009
comment
+1 за внимание к незначительным вещам, таким как утечка версий и понятие многоуровневой безопасности. - person Omniwombat; 26.08.2009

arrow_upward
1
arrow_downward

все эти ответы заставят вас перестать думать после того, как ваша установка будет завершена - но у программного обеспечения есть история, и после установки drupal у вас есть еще один ребенок, за которым нужно следить - в случае с drupal следите ОЧЕНЬ внимательно! Это означает, что вы ДОЛЖНЫ подписаться на список рассылки по безопасности drupal и читать все письма, которые приходят оттуда — будьте готовы получать много писем. Хорошо, что команда drupal быстро предоставляет эту информацию, но грустно, что таких писем действительно слишком много, что может быть связано со стилем программирования drupal. будьте готовы вставать более одного раза среди ночи, чтобы обновить вашу установку drupal, потому что какой-то разработчик расширений никогда не понимал, почему ввод из Интернета должен быть санирован (да, такого рода проблемы с безопасностью все еще случаются в мире drupal .) Таким образом, «укрепление» означает «отслеживание обновлений», в случае с друпалами они приходят довольно часто. Подумайте об этом, если у вас много сайтов и вы хотите выполнить развертывание на нескольких серверах — автоматические файлы deploymemts помогут вам сэкономить много времени.

person Aborto Virtuale de la Veritano    schedule 28.06.2010

arrow_upward
1
arrow_downward

Вот отличное краткое описание Drupal 7: http://www.madirish.net/242.

Большинство его предложений относятся и к Drupal 6.

person fureigh    schedule 29.01.2013

arrow_upward
0
arrow_downward

Вы также должны удалить параметр восстановления реестра темы.

Он перестраивает реестр вашей темы при каждой загрузке страницы, что делает ваш сайт очень медленным.

person Niels    schedule 20.08.2009
comment
Этот параметр отключен по умолчанию. - person ceejayoz; 20.08.2009