Securité : la sécurité dans eZ publish

La sécurité dans eZ publish

La securité dans eZ publish

eZ publish en production ! Un tour des bonnes pratiques pour améliorer la sécurité d'un site en eZ publish.

Permissions sur les fichiers

"Also in productive environments the extension directory should not be any longer writeable to apache cause of security." -- [email protected]
"Aussi en environnement de production, le serveur Apache ne devrait pas avoir accès en écriture sur le répertoire des extensions"

1. Permissions sur le répertoire d'installation

Permissions au niveau base de données

1. Utiliser un utilisateur différent par installation d'eZ publish
2. Réduire les droits de l'utilisateur de la base de données au maximum

L'administration d'eZ publish

SSL

1. Utilisez un navigateur et un serveur web qui supportent le protocole https/ssl. Toute partie nécessitant une identification devrait utiliser SSL.
2. L'utilisation de deux formes d'authentification, ACL et dans eZ réduit grandement les chances que quelqu'un compromette l'installation d'eZ publish.

ACL

1. Utilisez l'authentification HTTP pour protèger eZ publish
2. L'utilisation de deux formes d'authentification, ACL et dans eZ réduit grandement les chances que quelqu'un compromette l'installation d'eZ publish.

Utilisateurs, groupes, rôles et droits eZ publish

1. N'utilisez pas l'utilisateur 'admin' de la même manière qu'on utilise le moins possible l'utilisateur root sur les systèmes Unix-like
2. Si vous avez besoin de plus de droits, créez un groupe appelé 'ez-admin' et ajoutez y un utilisateur 'eza-jean'. Ajoutez les droits nécessaires aux rôles des groupes ou des utilisateurs

Resources externes

• Forum topic about MySQL database privileges on ez.no (en)
• Droits nécessaires dans MySQL pour eZ publish (directement inspiré du topic précédent)
• Avoid tip a friend abuse (en)