Max. Sicherheit für statische Webseite?
Eingetragen von Jim (25)am 28.01.2008 - 11:37 Uhr in
Hallo zusammen,
ich beschäftige mich jetzt seit ein paar Tagen mit Drupal, hab' die Version 5.6 auf einem geshareten Server laufen und habe hier im Forum auch schon 'ne Menge gelesen.
Da mein bisherigen CMS - welches allerdings nicht mehr von dem Hersteller gepflegt wurde - gerade per Cross site scripting gehackt wurde, steht für mich das Thema Sicherheit an erster Stelle. Ich weiß natürlich das es keine 100% Sicherheit gibt und das es ein "Hase und Igel Spiel" ist, aber trotzdem die Frage zu der Sicherheit bei Drupal. Dei Seite http://drupal.org/security kenne ich natürlich.
Bei meiner Webseite handelt es sich um eine statische Seite. Dort gibt es keine User, kein Forum, oder sonst etwas in der Art, sondern wirklich nur statische Infos, die ausschließlich von mir gepflegt werden.
Meine Frage ist: Welche Einstellungen könnte oder sollte man vornehmen um einen "max." möglichen Schutz zu erreichen. Die htaccess-Datei von Drupal ist klar. Zusätzlich hab ich auf anraten des Hosters noch 'ne php.ini im Einsatz.
php.ini
allow_url_fopen = off;
memory_limit = 40M;
upload_max_filesize = 20M;
max_execution_time = 50000;
browscap = /usr/local/lib/browscap.ini
register_globals = off;
error_reporting = (E_ALL & ~E_NOTICE & ~E_WARNING);
url_rewriter.tags = "a=href,area=href,frame=src,form=fakeentry,fieldset=";
Was mich interessiert wäre z.B. ob ein Verzeichnisse auf dem Server noch zusätzlich per .htaccess schützen kann bzw. sollte?
Gibt es bei der Konfiguration von Drupal bzgl. der Sicherheit irgendwelche Einstellungen die man beachten sollte, oder die man machen sollte, oder die man eben auf keinen Fall machen sollte?
Gibt es, wenn man nur eine statische Webseite betreibt, irgendwelche Dinge (z.B. Module, Verzeichnisse) die man eh nicht braucht und die man z.B. von Server runterwerden kann?
Gibt es irgendwelche Security Module (z.B. von hier: http://drupal.org/project/Modules/category/69) die "Sinn machen"?
Gibt es sonst irgendwelche Infos oder Tipps zum Thema Drupal und Sicherheit?
Ich weiß natürlich das das Thema Sicherheit ein breites Feld ist und das man das nicht so einfach beantworten kann, aber trotzdem würde ich mich über ein paar Infos/Anregungen/Tipps freuen!
Danke und Gruß
Jim
- Anmelden oder Registrieren um Kommentare zu schreiben
Standard schon recht gut
am 29.01.2008 - 09:17 Uhr
Hallo Jim,
also die Standardeinstellungen von Drupal sind schon recht gut. Viele Verzeichnisse werden schon von der Standard-Installation schon mit einer htaccess versorgt. Die Entwickler von Drupal haben im Laufe der Zeit aber immer darauf geachtet, dass es ein Sicherheitskonzept gibt. Die meisten Fehler, die die Sicherheit von Drupal gefähren, stecken in den Modulen.
Es sollte eigentlich so sein, wenn du eh nichts weiter benötigst, außer statischen Seiten, dass du keine zusätzlichen Module installierst, aber die Updates von Drupal durchziehst, dass du ein hohes Niveau in Sachen Sicherheit hast. 100% werden es eh nie, dann musst du alle Benutzer-Accounts von Drupal löschen ... und das macht keinen Sinn.
Ciao, Q
---
Running Gag der IT seit den 70er: "Machen wir eben mal schnell ...".
Hallo Q-Base, Q-Base
am 29.01.2008 - 11:09 Uhr
Hallo Q-Base,
Es sollte eigentlich so sein, wenn du eh nichts weiter benötigst, außer statischen Seiten, dass du keine zusätzlichen Module installierst,
danke für Deine Antwort. Ich meine das ich nur die Module aktiviert habe, die ich wirklich brauche. Z.Z. sind aktiviert:
- Color
- Help
- Locale
- Menu
- Path
- Statistics
- Autolocale
- FCKeditor
Irgendwelche Einwände/Bedenken dagegen?
aber die Updates von Drupal durchziehst,
Das auf jeden Fall. Hab' gesehen das es seit heute schon die Version 5.7 gibt. Mit dem Thema Update bei Drupal muß ich mich dann auch noch beschäftigen.
dass du ein hohes Niveau in Sachen Sicherheit hast.
Wie schon gesagt ist das, nach meinen Erfahrungen der letzten Jahren mit XX CMS, für mich das Wichtigste.
Die Schwierigkeit, wenn man mit einem neuen CMS anfängt, ist natürlich das man sich insgesamt erstmal einarbeiten muß und das einem so manche Zusammenhänge noch etwas komisch/ungewohnt vorkommen. Von Drupal ist das u.a. z.B. die Benutzerverwaltung.
Ich habe jetzt unter "Benutzer" nur einen Benutzer - den admin - eingerichtet. Bei "Benutzereinstellungen" ist "Nur Administratoren können neue Benutzerkonten erstellen." aktiert. Somit sollte ja schon mal sichergestellt sein das nur ich etwas an Drupal machen kann und das sich kein neuer Benutzer registieren kann, richtig?
Bei den "Rollen" (was für ein Wort) :-) ist für anonymous und authenticated user nur das "node-Modul - Inhalt lesen" aktiviert. Gleiches gilt für "Zugriffskontrolle": Administrator alle Berechtigungen, anonymous und authenticated user nur das "node-Modul - Inhalt lesen".
Zugriffsregeln sind keine erstellt.
Gibt es sonst vielleicht noch irgendwelche (Vor-)Einstellungen/Vorgaben die ich bzgl. der Berechtigungen überprüfen müßte?
Macht ein (zusätzlicher) Verzeichnis-/Dateischutz auf dem Server noch Sinn? Entweder per (zusätzlicher) .htaccss in einem Verzeichnis, oder durch Änderung der Verzeichnis-/Dateirechte im Drupal-Verzeichnis?
100% werden es eh nie, dann musst du alle Benutzer-Accounts von Drupal löschen ... und das macht keinen Sinn.
Ist schon klar, aber wenn einem gerade irgend so ein Idiot die Webseiten und somit die Arbeit der letzten Jahre platt gemacht hat, dann wird man extrem empfindlich und vorsichtig.
Gruß Jim