drupal / linux / security

ninguém deve ser dono do Drupal

Este não é um post sobre ideais, mas mais um sobre segurança. Havia uma vulnerabilidade de segurança encontrada no Drupal 7.0 – 7.15, onde um site Drupal poderia ser sequestrado com as permissões erradas para o arquivo settings.php. Leia mais sobre isso aqui http://drupal.org/node/1815912 (se você ainda estiver executando o Drupal 7.15 ou menos, a atualização é altamente recomendada).

Esta vulnerabilidade depende do arquivo settings.php ser gravável pelo servidor da web. Uma maneira de garantir que esses tipos de vulnerabilidades não afetem seu site é definir as permissões adequadas para sua instalação.

No meu servidor, normalmente crio um grupo de desenvolvimento e atribuo a mim e a outros desenvolvedores a esse grupo. Então, defino as permissões da seguinte maneira:

Comece com todos os arquivos:

sudo chown -R nobody:dev /path/to/drupal

Definimos o proprietário de todos os arquivos para ninguém. Este é um usuário especial no Linux e irá garantir que nenhuma permissão desnecessária seja concedida a qualquer um dos arquivos na instalação do Drupal.

Em seguida, definimos as permissões de diretório e arquivo:

// start with the files
sudo chmod -R 664 /path/to/drupal
// now set the directories
sudo find /path/to/drupal -type d -exec chmod 775 {} ;

Apenas alguns toques finais para garantir que o Drupal esteja feliz com a forma como as coisas estão definidas.

// set the sites/default/files directory ownership
// www-data is the owner on most debian based systems,
// if you use a redhat based distro, you may need to set 
// the owner to 'apache'
sudo chown -R www-data /path/to/drupal/sites/default/files

E apenas para um pouco mais de segurança, vamos tornar o arquivo settings.php somente leitura.

sudo chmod 444 /path/to/drupal/sites/default/settings.php

Isso deve bastar, as permissões devem agora ser definidas de forma que qualquer pessoa no grupo dev possa modificar os arquivos conforme necessário para fins de desenvolvimento, mas o servidor web não terá permissão para modificar os arquivos, deixando a instalação um pouco mais segura.

Related Posts

Drupal + Sass & Compass, uma combinação perfeita!

Recurso Reverter tudo em um hook_update_N

Substitua as visualizações por efq para velocidade do site e facilidade de exportação.