Drupal व्यवस्थापक क्षेत्र और लॉगिन, HTTPS के साथ उन्हें सुरक्षित करना

मैं इस बारे में बहुत कुछ पढ़ रहा हूं और मैंने पाया है कि कई तरीकों की कोशिश कर रहा है और अभी तक कुछ भी ठीक से काम नहीं कर पाया है।

मैं व्यवस्थापक क्षेत्र और संबद्ध लॉगिन पृष्ठों को सुरक्षित करने में सक्षम होना चाहता हूं। इसलिए example.com/admin/* या example.com/user/* आदि में कुछ भी, SSL / TLS पर जाने की आवश्यकता है। हम मल्टीसाइट सेटअप के साथ प्रत्येक साइट पर लागू करना चाहते हैं। तो example1.com, example2.com, example3.com सभी एक ही सर्वर / उपयोगकर्ता खाते पर हैं।

स्थापित करना

• Drupal 7 मल्टी साइट
• स्वच्छ यूआरएल सक्षम
• PHP 5.3
• MySQL v14 d5
• Apache2

टिप्पणियाँ

• Securepages एक विकल्प नहीं है, क्योंकि कोई स्थिर Drupal 7 रिलीज़ नहीं है, और मौजूदा देव संस्करण का उपयोग करके Drupal Core को पैच करना आवश्यक है, जो हमारी नीति के विरुद्ध जाता है
• बिना किसी सफलता के साथ सत्र 443 की कोशिश की
• सुरक्षित लॉगिन की कोशिश की है जिसमें कोई सफलता नहीं है
• एक एसएसएल सर्टिफिकेट (अब परीक्षण के लिए एक स्व-हस्ताक्षरित) स्थापित है और सर्वर पर अन्य उद्देश्यों के लिए काम करता है, न कि ड्रुपल।
• मैंने HTTPS को सक्षम करने के बारे में Drupal.org पर सभी डॉक्स पढ़े हैं और थोड़ी सफलता के साथ वहां के निर्देशों का पालन करने का प्रयास किया है
• मैंने सेटिंग में $ conf ['https'] सेटिंग की है। बिना किसी परिणाम के।

प्रश्न

यदि मैं किसी साइट पर सब कुछ के लिए HTTPS सक्षम करता हूं, तो मुझे https: // के माध्यम से जाने के लिए कुछ भी प्रयास करने के लिए 404 मिलता है, जो मुझे यह सोचने के लिए प्रेरित करता है कि पुन: लिखने के नियम https पृष्ठों के लिए आवेदन नहीं कर रहे हैं। मुझे यहां क्या समझ नहीं आ रहा है? क्या मुझे इसे ठीक करने के लिए htaccess में एक पुन: लिखने की शर्त / नियम जोड़ा जा सकता है?

क्या यह द्रुपाल समुदाय में हल की गई समस्या नहीं है? क्या लोग केवल अपने व्यवस्थापक क्षेत्रों को असुरक्षित छोड़ रहे हैं, उपयोगकर्ता पासवर्ड स्पष्ट में भेजे जा रहे हैं? मुझे यह विश्वास करना मुश्किल लगता है, फिर भी ऐसा लगता है कि समस्या का कोई अंतर्निहित या आम तौर पर ज्ञात समाधान नहीं है।

यह वह प्रश्न नहीं है जो आपने पूछा है, लेकिन सबसे सरल उत्तर यह है कि आपको अपनी नीति बदलनी चाहिए।

"हैकिंग" कोर (इसे पैच करना) और अस्थिर रिलीज को चलाना वेबसाइट चलाने की वास्तविकता है।

सिक्योरजेस के लिए जरूरी दो पैच को अक्सर री-रोल, रिव्यू या सुधार की जरूरत होती है। उस चक्र में शामिल हों और उन्हें स्थिर करने में मदद करें।

मैंने निम्नलिखित सेटिंग्स का उपयोग किया है ... और इसे करने के लिए किसी मॉड्यूल की आवश्यकता नहीं है। 1) httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3) settings.php

$base_url = 'https://www.example.com';  // NO trailing slash!

और वियोला !! यह सभी http ट्रैफ़िक को https और js और css जैसे संसाधनों सहित यात्रा पर ले जाएगा। यदि आप उप-डोमेन चाहते हैं, तो vhosts फ़ाइल (s) में उपयुक्त ServerAlias ​​निर्देशों को जोड़ना सुनिश्चित करें।

मैं Ubercart SSL मॉड्यूल का उपयोग करता हूं जो एक शानदार मॉड्यूल है, हालांकि इसे बहुत ही नाम दिया गया है । आप करते नहीं Ubercart चलाना करने की जरूरत है इस मॉड्यूल जो बहुत ही स्थिर है और आसानी से उपयोग करने के लिए का लाभ लेने के।