Drupal biztonsági kérdés

Retro képe

Sziasztok!

Egy megrendelőtől ezt a kérdést kaptam:

" - Szeparálható-e olyan mértékben a weboldal, hogy a szerkesztői felület és a látogatói rész ne csak a tartalomkezelő rendszer szintjén legyen "logikailag" elkülönítve, hanem adatbázis, operációs- és file rendszer szinten is külön jogosultságokkal rendelkezzenek? (Külön 'felhasználók' a vendégek/látogatók részére, külön a szerkesztői felület/adminisztrátor számára és csak az utóbbi rendelkezzen írási jogokkal) "

Ha valaki tud erre valami választ , hogy lehetséges e ezt megoldani drupal-al azt megköszönném!

Drupal verzió: 
Fórum: 
Illyés Edit képe

Az adatbáziskezelő szoftver és az operációs rendszer saját jogosultságkezeléssel rendelkezik. Természetesen ezeket a jogosultságokat a Drupal nem írja felül, jól is néznénk ki. :)

0
0
andrew képe

amit ők akarnak az nem megvalósított egy alap drupalban és szerintem nem is összehozható.

0
0
Illyés Edit képe

Van pl. LDAP integráció. De nekem az jött át, hogy a kérdező és a kérdést továbbító nem érti, hogy a webszerverek különböző „rétegeiben” hogyan működik a jogosultság-kezelés.

0
0
andrew képe

vagy legalábbis nem túl jól megfogalmazott.

értelmezésem szerint a megrendelő kb ezt akarja:

- legyen egy adatbázis: x
- legyen egy adminisztrációs felület, ahol van írási, szerkeszési, törlési jogosultság a megjelenő tartalmak vonatkozásában, de ne csak "logikai szinten" kerüljön ez a jog megadásra (drupal access control) hanem ennek az admin felületnek legyen csak gyk. insert, update, delete joga az x adatbázisra
- legyen egy adminisztrációs felülettől független megjelenítő felület, ami olyannyira szeparált, h az a felület csak select joggal bír az x adatbázison.
- ugyan ez a jogosultságkezelés file szinten is megvalósításra kerülne, tehát mondjuk az admin felület olyan user nevében fut (mármint a keretrendszer, tehát pl php) aki tud írni a docroot-ba, míg a megjelenítő felület olyan júzer nevében fut aki a docroot alatti dolgokat ugyan olvasni tudja de írni nem.

legalábbis én így értelmeztem a topik indító kérdését.

na erre nem való a drupal.

0
0
york képe

Kezdjuk az adatbazissal.
Tudunk letrehozni ket adatbazis felhasznalot amivel ket kulonallo drupal (vagy multisite) tud kapcsolodni, egyiknek csak select jogot adunk a masiknak minden jogot ami kellhet.
Buktatok, macera: Vannak olyan tablak amibe irni kell a SELECT joggal rendelkezo felhasznalonak: pl. session cache watchdog stb. ezeket kibogaraszni nem egyszeru.
Ha van felhasznalo regisztracio es avatar feltoltes akkor az user es files es meg a hozzajuk kapcsolodo tablakra is engedelyezni kell a hozzaferest.

Van ket drupal kulon uid-gid parossal a file rendszeren, a files konyvtarat szinkronba kell valahogy tartani, ha toltenek fel kepet, allomanyokat a rendszerbe.

Modul es drupal frissites: ez is egy erdekes jatek ugye mindent egyszerre kell csinalni, de csak az adminon lehet frissiteni az adabazist. Itt esetleg lehet multisite megoldast valasztani, de akkor file szinten mar nem lesz kulon...

Meg lehet csinalni, de attol is fugg mennyi maceraval, hogy milyen jellegu az oldal, vannak e kulsos felhasznalok, azok hoznak-e letre tartalmat, vagy csak 1-2 ember irogatja at a cegismertetot...

Azert azt jo ha tudjuk, hogy a drupal telepitese utan a rendszernek csak a files konyvtarra van iras joga (ha nem igy van beallitva at kell allitani ilyenre), igy a kodot atirni kivulrol nem lehet.
A drupalrol ki lehet jelenteni, hogy a biztonsagra nagy hangsulyt fektetve fejlesztik ezert en nem tennem "kulon" adatbazisba a dolgokat. Szoval ha biztonsagot akarsz novelni egy drupal oldalnal akkor azt a php es apache tuninnggal csinald (suhosin, mod_sec stb.).

0
0
sgabe képe

Szerintem inkább ők értelmezték rosszul a kérdést és neki kéne futni mégegyszer.

0
0
zschopper képe

Szerintem ezt nem a drupalnak kell megoldja, hanem a fájl-szinten kell a biztonságot biztosítani. Egy adatbázismotor se nyújt védelmet az adatfájlok fájl szintű elérése ellen.

Esetleg a drupal által létrehozott (mentett) fájlok jogosultságainak beállítása lehet még feladata, de weben keresztül csak programhiba esetén lehet hozzáférni jogosulatlanul bármihez.

A T. megrendelő mennyire informatikai szakember?

0
0
zoner képe

Szerintem pedig csak egy furán megfogalmazott kérdés. Én alapból ajánlanék neki néhány felhasználói csoportot és egy olyan modult, ami az egyes CCK-val feltöltendő fájlok elérését szabályozza: http://drupal.org/project/cck_field_perms

Ha nem erre gondolt a megrendelő, hanem tényleg arra, amit megfogalmazott, akkor pedig létre kell hozni SSH felhasználókat MySQL alapú authentikációval. (vagy használható az LDAP integráció is) Ezek a felhasználók akár lehetnek Drupalból is hozva, fél óra alatt meg tudom írni a scriptet, ami kiszedi a felhasználókat csoportnevestől, MD5 jelszavastól a user táblából. Ezt a scriptet meg lehet hívni cron 5 percenként. Innentől van fájlrendszer jogosultság, SSH-n vagy SFTP-n be tud lépni a felhasználó a szerverre.

0
0
Webappz képe

Nem tudom, hogy milyen céllal és milyen feladatok/funkciók/szolgáltatások ellátásról szól ez a projekt, de bennem alapvetően 2 kérdés fogalmazódott meg:

1., Miért regisztrál valaki egy olyan szolgáltatásra, ahol ő maga az olvasáson kívűl semmire sem jogosult? Nem tud kérdezni, nem tud hozzászólni, szavazni, értékelni. Maximum annyit kap, hogy hozzáfér olyan tartalmakhoz, amihez eddig nem és kész.

2., Miért jó egy olyan szolgáltatást indítani (üzleti szempontból), amely nem épít a fogyasztói szokásokra, nem szeretne jobb, célzottabb tartalmat szolgáltatni és miért nincs igény a működtető részéről arra, hogy több információval rendelkezzen az ügyfeleiről?

Én arra tippelek, hogy egy olyan adat/információ szolgáltatásról lehet szó, amely feladat ellátásához kizárólagos vagy monopol joggal kell rendelkezni.

Lehet, hogy Drupallal is meg lehet oldani, de nem kifejezetten ez a célterülete :)

0
0

Páldi Zoltán

Balogh Zoltán képe

1., Miért regisztrál valaki egy olyan szolgáltatásra, ahol ő maga az olvasáson kívűl semmire sem jogosult? Nem tud kérdezni, nem tud hozzászólni, szavazni, értékelni.

Hirtelen 2 ilyen oldal érdeklődési körömből:

  • kezi.hu - Itt eredetileg lehetett kommentelni a cikkeket, aztán nem volt munkaerő, aki moderáljon, így egy nevetséges, minden oldalon megjelenő irgum-burgum üzenet (ha mégegyszer valakire rá kell szólni...) után az egyszerű, és olcsó megoldást választották a szerkesztők. No comment.
  • isaszeg.hu - szívem csücske „gyönyörűség”, de itt sem ad semmiféle többletet a regisztráció.
0
0