Drupalsnack 33: Säkerhet i Drupal och i allmänhet
Drupalsnack
Swedish - June 12, 2014 23:13 - 1 hour - 27.8 MBTechnology drupal cms svenska swedish utveckling web webb Homepage Download Apple Podcasts Google Podcasts Overcast Castro Pocket Casts RSS feed
Vi pratar om säkerhet i Drupal och i allmänhet. Adam saknas denna gång men Kristoffer och Fredrik djupdyker i säkerhet, zsh, Ansible m. m. Drupalsnack har nu sommaruppehåll till slutet av augusti eller så.
Länkar till moduler, webbplatser och tjänster vi pratade om i detta avsnitt:
Kod och Drupal
Håll core och moduler uppdaterade.
dev-moduler vara eller inte vara
Se till så att alla patchar dokumenteras och helst pushas i issue kön
Många moduler ger mer kod som kan ha buggar, större ”attackyta”.
Modulen Hacked
https://drupal.org/writing-secure-code
Drupal filtrerar på ”output”.
check_plain(), filter_xss(), t()
Använd alltid FormAPI och inte egen rå SQL
Använd placeholders i databasfrågor.
Inloggade sessioner över SSL.
Roller och test användare
Låt alla användare ha egna konton så det går att se vem som gjort vad.
Ha inte databaslösenord etc. i versionshanteringen
Lösenordsskydda utvecklingssiter så att google inte indexerar de
site:drupalcamp.se -site:spring2014.drupalcamp.se
Kör sanitize (drush) för att inte sprida användares lösenord och e-postadresser i onödan.
Server och oDrupal saker
Hur sparas backup och säkerhetskopior
Server/Apache/Drupal versioner
php.ini, se till att ni inte kör med developer inställningar.
MySQL bind-address = 127.0.0.1
Kontroll av DNS/Mail/3rd part tjänster
Övervakning av maskin och tjänster
Vilka har tillgång till servern?
Kontrollera loggar
Långa och unika lösenord
Visitors Voice
Eftersnack
ZSH, Z shell
Zsh
https://github.com/myfreeweb/zshuery
https://github.com/frjo/dotfiles
Ansible
Launchpad