Vallyol's Blog

27/11/2013

Drupal 7.24 — directory Not fully protected

Filed under: Drupal, Linux, Web — Метки: , , , — vallyol @ 09:25

При обновлении Друпал до версии 7.24 (аналогично — при установке нового сайта на этой версии) в Status Report появляется сообщение:

Temporary files directory Not fully protected
See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the /tmp directory to help protect against arbitrary code execution.

Если мы обновляем наш Друпал, это сообщение дополняется точно таким же, но относящимся к каталого files нашего сайта. Ссылка на статью базы знаний та же самая…

Смысл обоих сообщений — в защите указанных каталогов от несанкционированного выполнения кода на вэб-серверах под управлением Apache. И если с каталог, в котором хранятся файлы вопросов не возникает, то вот с каталогом временных файлов у народа возникают проблемы.

Суть возникающей проблемы — «где мой каталог tmp?», который надо защитить.

Месторасположение этого каталога указывается здесь: Конфигурация — Медиа — Файловая система (или из адресной строки — admin/config/media/file-system). Там мы можем найти поле Temporary directory, в котором по умолчанию стоит /tmp.

Народ обычно смотрит на эту строку и… отправляется искать tmp по файловой системе своего сайта. Естесственно, не находит!
Вот примерная последовательность шагов, которая поможет «разрешить» этот вопрос:

1. Переходим по пути admin/config/media/file-system (Конфигурация — Медиа — Файловая система)
2. Смотрим, что прописано в поле для Temporary directory (каталога временных файлов)
2.5. Если там указано /tmp — удаляем слэш, оставляя только tmp
2.6. Если ничего не указано — прописываем tmp руками
3. Нажимаем «Сохранить конфигурацию», при этом Друпал попробует сам создать каталог tmp в корне Вашего сайта
3.5. Если при сохранении выводится сообщение о невозможности создать каталог — переходим на сайт (ssh, ftp…) и создаем каталог tmp руками.
3.6. Проверяем права на запись для данного каталога — права нужны по той причине, что при попытке сохранения конфигурации Вашего сайта Друпал сам создает необходимый для безопасности сайта файл .htaccess (даем права на запись в каталог для всех, после сохранения конфигурации Друпал из вэб-интерфейса права возвращаем к предыдущему состоянию).
4. Проверяем наличие файла в каталоге tmp и обновляем страницу статус репорта, дабы убедится, что ошибка пропала.
=========
5. Если версия 7.24 не ставилась с нуля, а было произведено обновление с предыдущих версий — последовательность та же самая, за исключением:
5.5 Временный каталог был создан ранее или в нем уже есть какой-либо .htaccess
Тогда переходим в «файловую систему», находим каталог tmp, удаляем htaccess…
После этого: Конфигурация — Медиа — Файловая система — Проверяем путь к каталогу временных файлов — Сохраняем конфигурацию.
Необходимый файл будет создан автоматически.

Удачи!

Реклама

Блог на WordPress.com.

%d такие блоггеры, как: