Интересует методика защиты друпал сайтов версии 5.1.
Все время находятся новые дыры в CMS витает вопрос в своевременном обновлении движка. Но как правило релизы, что имеют защиту от найденного бага(ов) это бета/разработченские билды. Меня интересует оптимальная политика фиксов драпала, у кого какой подход, возможные рекомендации и советы.
Комментарии
каким может быть подход? обновляться нужно чаще, вот и весь подход...
Если есть возможность отдать файлы другому пользователю (например root), то имеет смысл это сделать. Оставив права для записи в папку для хранения загружаемых файлов (files) и в папку, где лежат модули (хотя если все необходимые модули установлены - можно тоже убрать). Если нет возможности отдать другому пользователю, то хотя бы установить права только для чтения для файлов.
Неудобство: при апдейте движка или модулей нужно будет установить права на запись обратно. Плюс: если взломан скрипт и получены права на запись файлов - будет невозможно переписать индексную страницу и испортить сайт (если права для чтения у пользователя под которым исполняется скрипт - то может быть остановит скрипт взломщика (если ломают скриптом через известную уязвимость, не анализируя реальной ситуации на хосте), самого взломщика это не задержит.
Более параноидальный вариант: убрать доступ к правам пользователя в БД - убрать всё кроме SELECT/INSERT/UPDATE/DELETE/LOCK/INDEX. Минус: при обновлениях надо выставлять права для пользователя обратно, также некоторые модули (CCK например) требуют прав CREATE при создании новых типов данных.
И разумеется следить за обновлениями движка и регулярно их устанавливать. Остальные меры защиты - это уже уровень системного окружения: настройка PHP, настройка ОС и СУБД.
--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!
Спасибо большое, довольно четко и грамотно расписано. но я думаю управлять правами для пользователей я не смогу, я на суборендном хостинге...
потому могу менять только права на файлы и папки, тоже самое с базкой.....
За обновления коенчно же надо следить
Согласен, автоматически защиты не получишь.
Подпишитесь на рассылку о безопасности на drupal.org, следите за обновлениями модулей (например, поставьте на сайт модуль update_status).
> Но как правило релизы, что имеют защиту от найденного бага(ов) это бета/разработченские билды
Не совсем верно для Drupal. На данный момент версия 5 заморожена и если в ней будет найдена уязвимость, номер измениться на 5.2 и на неё можно смело (и даже нужно) обновляться. И это не "бета/разработченский билд".
Тоесть дневные блилды не будут содержать обновлений/фиксов?
> Тоесть дневные блилды не будут содержать обновлений/фиксов?
Дневные билды, они вроде только для версии HEAD. И все фиксы туда должны входить.
Могу ошибвться. Поправьте.