versiones tesis temas sistema seguridad reclusorio perimetral old interna informatica distributions anteriores drupal drupal-6

tesis - Drupal ACL avanzado para administradores "no confiables"



tesis de seguridad perimetral (4)

Elimine a los usuarios de la función para que no puedan cambiar las contraseñas. Anime a los usuarios a restablecer las contraseñas.

En cuanto a la asignación de roles de usuario, puede usar el módulo de Delegación de funciones, y para la publicación de nodos, el módulo Sobrescribir opciones de nodo.

http://drupal.org/project/role_delegation

http://drupal.org/project/override_node_options

El segundo módulo le permitirá eliminar el permiso ''administrar nodos'', eliminando una gran cantidad de ''poder de sobrealcance'' del rol.

Tengo una instalación de varios sitios Drupal-6 que contiene sitios web de diferentes clientes.

En cada sitio, hay un rol de "administrador" que incluye principalmente la cuenta del cliente. Queremos otorgar tantos permisos como sea posible a este usuario con privilegios, pero esto podría generar filtraciones de seguridad solo con el sistema de administración de permisos de Drupal Core.

Lo más importante es evitar que la cuenta del cliente pueda ejecutar código PHP en el servidor (sería como estar conectado en el servidor como el usuario de www-data ... suena realmente mal).

Para evitar eso, no es suficiente negar la evaluación del código PHP para el rol. Dado que la función de administrador debe tener permisos para administrar usuarios, también podría cambiar la contraseña del usuario n.º 1 e iniciar sesión en el sitio como superadmin.

El segundo objetivo sería negar también algunas páginas administrativas "confusas" (como la selección de módulos) pero no otras (como la configuración de información del sitio o la selección de temas, etc.)

Encontré el módulo User One que parece solucionar el primer problema, pero no tengo idea de cómo resolver el segundo. Encontré algunos módulos, pero parece que nadie encaja ... parece que se cree que la mayoría de las ACL protegen el contenido , y no el sitio en sí, como si el administrador del sitio siempre fuera el propietario del servidor.


Siento tu dolor: gran parte de la funcionalidad administrativa no es lo suficientemente detallada en cuanto a las opciones de control de acceso, y si bien hay muchos módulos que abordan uno o más defectos específicos, aún no he encontrado el módulo general para esto.

Dicho esto, y dada su configuración de varios sitios, es posible que desee echar un vistazo más de cerca al módulo de acceso de dominio y sus múltiples ''descendientes''. Si bien su objetivo principal es ejecutar un conjunto de sitios afiliados en diferentes dominios que comparten contenido mientras se mantiene el dominio de otro contenido específico, también contiene muchos ajustes para ayudar a organizar y administrar dicha configuración. Por lo tanto, podría ofrecer algunas de las funciones que está buscando. Pero tenga cuidado: el módulo es bastante complejo y solo recomendaría usarlo si se ajusta a su configuración en general, no para obtener solo una o dos funciones de ACL.


Puede eliminar el módulo php del directorio de módulos. Siempre que no uses ninguna página php, puedes eliminarla.


Acabo de escribir el módulo PermMill para arreglar el problema de permisos demasiado grande.

El código aún no está en el CVS oficial de drupal.org, pero pronto estará disponible.

Espero que este módulo pueda ser útil para otra persona que llegue a esta pregunta.

[ACTUALIZACIÓN] 2010-04-15 19:30 +0200: Acabo de subir el código a CVS, y el primer paquete tarx 6.x-1.x-dev sale mañana a las 0:00 AM GMT ..