Security

Git Logo

Installation und Konfiguration von Git,
Gitosis
und Gitweb unter Debian 5 (Lenny).

  • Git ist ein DVCS, welches 2005 von Linus Thorvalds
    als Alternative zum vorher genutzten proprietären BitKeeper für die Quellcode-Verwaltung des Linux-Kernels entwickelt wurde.
  • Gitosis ist eine Software um Git-Repositories einfach und sicher zu hosten.
    Die Authentifizierung an gitosis erfolgt über SSH-Schlüssel.
  • Gitweb ist eine schnelle und skalierbare Weboberfläche für Git.

Das folgende Setup erstreckt sich über 3 Rechner:

  1. birgit, das zentrale Repository welches über gitosis verwaltet wird und die Gitweb Weboberfläche bereitstellt
  2. nora, der Server auf dem entwickelt wird
  3. demine, eine lokale Workstation

Warum man seinen Code versionieren sollte, müsste eigentlich jedem Entwickler klar sein, das Drupal in Zukunft auf Git setzen wird, dürfte wohl der Anreiz für Drupalentwickler sein sich frühzeitig mit dem Thema Git zu auseinanderzusetzen.

Htaccess mit Authentifizierung an einer MySQL basierten Drupal-Installation.

Installation des benötigten Apache Moduls

aptitude install libapache2-mod-auth-mysql

Aktivierung des authmysql-Moduls

a2enmod auth_mysql

Htaccess mit Authentifizierung an einer MySQL basierten Drupal-Installation.

Installation des benötigten Apache Moduls

aptitude install libapache2-mod-auth-mysql

Aktivierung des authmysql-Moduls

a2enmod auth_mysql

Dieses Snippet in die jeweilige Apache-VirtualHost-Datei einfügen

Security by obscurity

Mein erster Gedanke war, die CHANGLOG.txt mit in Direktive für die Absicherung von Drupals cron.php zu nehmen um diese Datei ebenso vor fremden Blicken zu schützen...

Abschließende Konfiguration

Einrichtung der Virtual-Hosts und Absichern der Installation.

Um die Apache-Direktiven und den Virtual-Host anzulegen benötigen wir wieder erhöhte Privilegien.

sudo su oder su
FirewallStefan mit einem wirksamen Mittel gegen Black-Hats - 31.12.2007

Um Drupals cron.php vor unberechtigtem Zugriff zu schützen, tragen wir in /etc/apache2/conf.d/drupal.conf noch die folgende Passage ein:

<Files cron.php>
Order deny,allow
Deny from all
Allow from 10.10.10.0/24
Allow from 127.0.0.1
Allow from 1.2.3.4
</Files>

Das zweite Security-Update im Oktober schließt wieder mehrere Lücken.

File inclusion in 5 und 6 und Cross site scripting in Drupal 6

Zum Security Advisory SA-2008-067 auf drupal.org

Mit dem heutigen Release wurden mehrere kritische Lücken im Drupal-Core geschlossen.

Das Security-Advice auf drupal.org
Release Notes für Drupal 5.11
Release Notes für Drupal 6.5