Drupal yönetici alanı ve giriş, HTTPS ile güvenli hale getirme

Bu konuda çok şey okudum ve bulduğum ve henüz düzgün bir şey elde edemediğim yöntemlerin çoğunu deniyorum.

Yönetici alanını ve ilişkili giriş sayfalarını güvence altına almak istiyorum. Yani example.com/admin/* veya example.com/user/* vb. Alanlardaki herhangi bir şeyin SSL / TLS üzerinden geçmesi gerekir. Bunun, çoklu site kurulumuna sahip her siteye uygulanmasını istiyoruz. Yani example1.com, example2.com, example3.com hepsi aynı sunucu / kullanıcı hesabında.

Kurulum

• Drupal 7 çoklu site
• Temiz URL'ler etkin
• PHP 5.3
• MySQL v14 d5
• Apache2

notlar

• Kararlı bir Drupal 7 sürümü olmadığından güvenlik aygıtları bir seçenek değildir ve mevcut dev sürümünü kullanmak, politikamıza aykırı olan Drupal Core'u yamalamayı gerektirir
• 443 oturumunu başarıyla denediniz
• Güvenli Giriş'i başarıyla denediniz
• Bir SSL sertifikası (test sırasında şimdilik kendinden imzalı olanı) yüklenir ve sunucuda Drupal için değil, başka amaçlar için çalışır.
• Drupal.org'daki HTTPS'yi etkinleştirmeyle ilgili tüm belgeleri okudum ve oradaki talimatları çok az başarıyla izlemeye çalıştım
• Farkedilebilir sonuçlarla settings.php içindeki $ conf ['https'] ayarını değiştirdim.

Sorular

Bir sitedeki her şey için HTTPS'yi etkinleştirirsem, https: // 'den geçmeye çalışan herhangi bir şey için 404 alıyorum, bu da yeniden yazma kurallarının https sayfaları için geçerli olmadığını düşünmemi sağlıyor. Burada ne eksik? Bunu düzeltmek için htaccess'e ekleyebileceğim bir yeniden yazma koşulu / kuralı var mı?

Bu Drupal topluluğunda çözülmüş bir sorun değil mi? Kullanıcılar yönetici alanlarını güvenli değil, kullanıcı şifreleri açık bir şekilde gönderiliyor mu? Buna inanmakta zorlanıyorum, ancak sorunun yerleşik veya yaygın olarak bilinen bir çözümü olmadığı anlaşılıyor.

Bu, sorduğunuz soru değil, ancak en basit cevap, politikanızı değiştirmeniz gerektiğidir.

"Hacking" çekirdek (yama) ve istikrarsız sürümleri çalıştırmak bir web sitesi çalıştırma gerçeğidir.

Güvenli sayfalar için gereken iki düzeltme ekinin sık sık yeniden rulolara, incelemelere veya iyileştirmelere ihtiyacı vardır. Bu döngüye dahil olun ve istikrarlı hale getirin.

Aşağıdaki ayarları kullandım bunu çekip ... ve bunu yapmak için bir modüle ihtiyaç duymadım. 1) httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3) ayarlar.php

$base_url = 'https://www.example.com';  // NO trailing slash!

Ve voooala !! bu, http ve css gibi kaynaklar da dahil olmak üzere tüm http trafiğini https üzerinden gerçekleştirir. Alt etki alanları istiyorsanız, vhosts dosyalarına uygun ServerAlias ​​yönergelerini eklediğinizden emin olun.

Fantastik bir modül olan Ubercart SSL modülünü kullanıyorum , ancak korkunç bir şekilde adlandırılmış . Sen do not Ubercart çalışıyor olması gerekir çok kararlıdır ve kullanımı kolay bu modülün yararlanmak.