Siguiendo las buenas prácticas nosotros hacemos las siguientes recomendaciones para que el sistema sea lo más seguro posible. Se tomarán como supuestos los siguientes requerimientos:
Los módulos elevan la seguridad significativamente en los sitios web. La instalación del módulo ayuda a verificar las configuraciones mal hechas, en este caso elabora una lista de recursos necesarios para el sitio.
Instalación del módulo Security Review
Security Review es un módulo que revisa los errores de seguridad más comunes cometidos en drupal.
Algunas de las características que el módulo verifica son:
El proceso de instalación que se recomienda es:
https://www.drupal.org/project/security_review
# cd /home/usuario/Descargas/
# tar –xzvf security-review.tar.gz
# cp security-review /drupal7/modules
# chmod –cR o-w security-review
# chmod –cR g+w security-review
# chown –cR webmaster:www-data security-review
El servidor de aplicaciones web no debe de tener permisos para editar o escribir en los archivos que conforman parte del core o plugins de Drupal.
Se cambia la ubicación al directorio DocumentRoot de la aplicación web.
# cd /opt/drupal7/
# chown –cR webmaster:www-data /opt/drupal7/
Se pueden asignar permisos de lectura-escritura para el dueño y de solo lectura para el grupo.
7 |
Permisos globales: lectura, escritura y ejecución para el propietario del archivo. |
5 |
Permisos de lectura y ejecución al grupo en el cual se encuentra el archivo. |
5 |
Permisos de lectura y ejecución para otros usuarios del sistema que utilicen el archivo. |
6 |
Permisos globales: lectura, escritura y ejecución para el propietario del archivo. |
4 |
Permisos de lectura para el grupo al cual pertenece el archivo. |
4 |
P ermisos de lectura para otros usuarios del sistema que utilicen el archivo. |
La utilería find, encuentra todos los directorios con el parámetro d y con el parámetro f encuentra todos los archivos para después aplicar los cambios de permisos.
# find /opt/wordpress -type d –print0 | xargs -0 chmod –c 755
# find /opt/wordpress -type f –print0 | xargs -0 chmod –c 644
El directorio donde se encuentre el sitio debe de tener permisos especiales, para que el manejador de contenidos escriba constantemente en él.
# cd /opt/drupal7/
# chmod –cR o-w /opt/drupal7/sites/all/sitio/
# chmod –cR g+w /opt/drupal7/sites/all/sitio/
Una cuestión importante son los privilegios, se considera una buena práctica el definir quién puede habilitar las características del sitio, definir los roles.
Se pueden agregar editores al sitio web, una buena práctica es crear roles con la propiedad de editor.
Mediante un clic en People podemos acceder a configurar a nuestros usuarios y dar roles.
Es posible habilitar la autenticación en el sitio mediante un módulo denominado SecurePages, el cual habilita una redirección a una versión de la página con el protocolo SSL.
El módulo fuerza a que cada uno de los sitios dentro del DocumentRoot utilicen el protocolo ssl para transmitir datos
https://www.drupal.org/project/securepages
tar –xzf securepages-$version.tar.gz
# chmod o-w /opt/drupal7/modules/secure-*
# chmod g+w /opt/drupal7/modules/secure-*
Aplicar las configuraciones en el archivo de configuración del VirtualHost o en el archivo de configuración principal de apache, activando el módulo ssl y agregando las directivas y puertos
El módulo se puede activar mediante la opción
# a2enmod ssl
Añadir al inicio del archivo de configuración de virtualhost, la configuración del archivo default-ssl
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerAdmin webmaster@localhost
DocumentRoot /ubicación/DocumentRoot/Drupal7
<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>
<Directory /ubicación/DocumentRoot/Drupal7>
Options -Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
</IfModule>
Existe otra opción para poder habilitar el protocolo de comunicación SSL, habilitando la característica en la configuración de Drupal.
Obteniendo un certificado mediante un proveedor de hosting o generar un certificado propio.
El uso de un programa cron es una característica importante en la seguridad de un manejador de contenidos.
Algunas de las características del cron de drupal son:
Dirigirse a la siguiente url:
http://sitio-q=admin/config/system
Para configurar horarios del cron:
Corremos el cron
Guardamos la configuración
https://drupal.org/security/secure-configuration
https://drupal.org/project/securepages
https://drupal.org/https-information
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:
Para mayor información acerca de este documento contactar a:
UNAM-CERT: Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
Dirección General de Cómputo y Tecnologías de Información y Comunicación
Universidad Nacional Autónoma de México
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT