Czy są jakieś specjalne środki bezpieczeństwa, które należy podjąć podczas wdrażania witryny Drupal na serwerze produkcyjnym?hardening drupal do instalacji na żywo
Na przykład: Mogę zobrazować, że musimy usunąć install.php z katalogu głównego. Czy są jeszcze jakieś akcje?
Czy jest tam może moduł dostępny który sprawdza stronę za „gotowość świata”
Należy również usunąć ustawienie Motyw rejestru odtworzenia.
Odbudowuje rejestr motywów na każdym pageload, dzięki czemu witryna jest bardzo wolna.
Oprócz innych sugestii, usuń również update.php.
Chciałbym również (re) Akcja/skrypty z Webroot
Jest to drobne rzeczy, ale można usunąć pliki tekstowe w katalogu głównym dystrybucji, które wyciekały numer wersji. Takich jak CHANGELOG.txt itp.
Nie pamiętam, jak bezpiecznie cron.php chroni się przed powodzią. Możesz zastanowić się, czy warto ograniczyć to do dostępu tylko lokalnego lub wiersza poleceń.
Upewnij się, że pliki .inc są przetwarzane przez PHP.
Nigdy nie stwierdziliśmy, że konieczne jest usunięcie update.php - nie jest on używany przez nikogo poza administratorem 0, a jeśli haker ma do niego dostęp, cóż, masz kłopoty. Nie musisz przenosić ani usuwać żadnego z plików podczas instalacji drupala, a problem z tym polega na tym, że kiedy uaktualnisz Drupala do następnego wydania zabezpieczeń, możesz skończyć z plikami w dwóch miejscach, z zamieszaniem i błędy, które mogłyby spowodować. –
Pytanie dotyczyło bezpieczeństwa, a nie łatwości instalacji. Warstwowe podejście do bezpieczeństwa jest zawsze dobrym pomysłem. Jak daleko zajmiesz, zależy to od Ciebie. Na pewno masz rację, mówiąc, że musisz ponownie zbadać zestaw plików podczas każdej aktualizacji. Ale istnieje kilka dobrych powodów, aby pozostawić pliki wykonywalne, których nie potrzebujesz w sieci webroot. Chodzi o ograniczenie powierzchni ataku, jeśli nieznana luka zostanie wprowadzona w dowolnej (być może innej) aplikacji. – Cheekysoft
+1 za obsługę drobnych rzeczy, takich jak wyciek wersji i pojęcie warstwowego zabezpieczenia. – Omniwombat
Raport o stanie na http://your-site/admin/reports/status powie Ci, czy coś nie jest w porządku.
Na stronie administratora wydajności można włączyć różne ustawienia buforowania, ale przed uruchomieniem przetestuj swoją witrynę przy włączonych.
Istnieje book by greggles do zabezpieczenia drupala, który może być wart obejrzenia.
Tak, to. Upewnij się, że hasło administratora to jakiś gobblygook, a nie coś, co ludzie będą pamiętać, i zasugeruj, by klient go nie używał, chyba że jest to absolutnie konieczne. Upewnij się również, że ustawienia bazy danych są takie, że akceptuje tylko połączenia localhost i mają podobnie losowe hasło dla tego połączenia. –
wszystkie te odpowiedzi sprawiają, że przestajesz myśleć po zakończeniu instalacji - ale oprogramowanie ma historię i po zainstalowaniu drupala masz jeszcze jedno dziecko do oglądania - w przypadku Drupala uważnie obserwuj! Oznacza to, że MUSISZ zapisać się na listę mailingową drupal security i czytać wszystkie wiadomości, które nadejdą - przygotuj się na otrzymywanie wielu e-maili. To dobrze, że zespół drupal przekazuje te informacje szybko, ale jest smutno, że jest ich naprawdę zbyt wiele, co może być związane ze stylem programowania drupali. bądź przygotowany, aby wstawać więcej niż raz w środku nocy, aby zaktualizować instalację dumpala, ponieważ jakiś deweloper rozszerzeń nigdy nie zrozumiał, dlaczego dane wejściowe z sieci muszą zostać oczyszczone (tak, tego rodzaju problemy bezpieczeństwa wciąż mają miejsce w drupalskim świecie .) Tak więc "hartowanie" oznacza "nadążanie za aktualizacjami", w przypadku dumpli występują one dość często. Pomyśl o tym, jeśli masz wiele witryn i chcesz wdrożyć na wielu serwerach - automatyczne deploimmy pomogą Ci zaoszczędzić sporo czasu.
Najlepiej przetestować swój kod pod kątem niepewności przed wdrożeniem, ale często można pominąć konfigurację.Jest to tryb analizowania witryny Drupal za błędną, który mógłby prowadzić do luk http://drupal.org/project/security_review
Security Review sprawia następujące kontrole:
Oto doskonały wybiegiem dla Drupal 7: http://www.madirish.net/242.
Większość jego sugestii dotyczy także Drupala 6.
To ustawienie jest domyślnie wyłączone. – ceejayoz
Nie związane z hartowaniem. –