Drupal ParanoiaでDrupalをより安全に

Transcript

1. あなたのDrupalのディレクトリ構成は安全ですか？

2. Drupal Paranoiaで Drupalをより安全に 金子 智嗣 kaneko@zerobase.jp の運営メンバ @snize Drupal Meetup

   Tokyo

3. 過去の脆弱性 2016年に というモジュールで 脆弱性 が発見された。 Coder SA-CONTRIB-2016-039

4. webからアクセス可能な場所にあるだけで脆弱性 となった。 The module does not need to be enabled

   for this to be exploited. Its presence on the le system and being reachable from the web are su cient.

5. Demo 一般的DrupalプロジェクトのDocrootを確認 zip版 版(composer) drupal-project

6. 他のWebフレームワークと比較 Symfony Quick Tour: The Architecture Directory Structure - Laravel

   - The PHP Framework For Web Artisans CakePHP のフォルダー構成 - 3.6

7. Drupalと他のComposerなフレームワークとの違い

8. Drupal Paranoia 不要なファイルを削除し 必要なファイルへのみシンボリックリンクを生成する

9. なぜこのプラグインを使うか 楽しつつ、脆弱性を生まないようにするため。

10. Demo 準備します... 1. もとのDocrootを退避 2. composer.json の extra にコードを追加 3.

    プラグインをインストール

11. もとのDocrootを退避 mv web app

12. composer.jsonを編集 "installer-paths": { "app/core": ["type:drupal-core"], "app/libraries/{$name}": ["type:drupal-library"], "app/modules/contrib/{$name}": ["type:drupal-module"], "app/profiles/contrib/{$name}":

    ["type:drupal-profile"], "app/themes/contrib/{$name}": ["type:drupal-theme"], "drush/contrib/{$name}": ["type:drupal-drush"] }, "drupal-app-dir": "app", "drupal-web-dir": "web",

13. プラグインをインストール composer require drupal-composer/drupal- paranoia:~1

14. 変化を見てみる 1. /app 2. /web

15. まとめ Drupal Paranoiaによって web(docroot) 以下が 必要最小限のファイルに置き換えられ 不用意なアクセスからDrupalを守ることができる。

16. おまけ Drupal Paranoiaは のプロジェクトのひとつ Core doesn't embrace Composer best practices

    OOTB Figure out how to separate php code from assets in modules and in core so that code can be vendored, and assets under the docroot. Drupal Composer Proposal: Composer Support in Core initiative [#2958021] | Drupal.org

17. 以上です、ありがとうございました ( ω ) コンタクト @tomotsugu_kaneko - kaneko@zerobase.jp 次回 2018/11/01

    @snize drupal-japan.slack.com Drupal Meetup Tokyo - connpass