Voici un petit script shell qui va vous permettre de sécuriser les droits du système de fichiers d’un site Drupal
Ce script suit les préconisations que l’on peut retrouver dans la documentation Drupal officielle : Securing your site
Attention, il ne faut surtout par croire que votre installation Drupal sera complètement sécurisée après l’exécution de ce script.
Elle le sera juste un peu plus, le but étant d’automatiser certaines taches, comme la gestion des droits et des utilisateurs du système de fichiers Drupal.
Tout d’abord, ce script va vous poser quelques petites questions propres à votre installation, comme le répertoire d’installation de Drupal, l’utilisateur système, le groupe du serveur web, votre répertoire temporaire Drupal..
En gros, ce script va donner la propriété à l’utilisateur de votre choix et au groupe de votre serveur web sur tous les fichiers et repertoires.
Seul l’utilisateur (attention à ne pas choisir l’utilisateur de votre serveur web, sous Debian www-data) pourra écrire partout.
Les membres de votre groupe web pourront écrire dans le dossier de stockage et le répertoire temporaire paramétré sur la page « Système de Fichiers » (/admin/settings/file-system/settings)
Voici la documentation concernant la sécurisation du système de fichiers Drupal :
Securing file permissions and ownership
Ensuite, ce script, va supprimer tous les fichiers .txt, comme les Changelog.txt, les Readme.txt qui pourraient révéler des informations sur vos versions de modules ou de votre installation.
Bien sur ce script sera à lancer en root ou via sudo…
Script de sécurisation des droits et propriétaires de fichiers Drupal – Sous Licence GPL v3
Liens utiles :
Site Officiel de Drupal
Sécuriser Drupal via des modules
Notes :
Le Cadena utilisé pour illustrer cet article provient d’OpenClipart
N’hésitez pas en tous cas, si vous voyez d’autres éléments, optimisation (le script n’est pas des plus optimiser…) à rajouter.