Sichere Wiki-Migration: Difference between revisions
No edit summary |
No edit summary |
||
Line 101: | Line 101: | ||
<syntaxhighlight lang="php">wfLoadExtension(‘CategoryTree‘);</syntaxhighlight> |
<syntaxhighlight lang="php">wfLoadExtension(‘CategoryTree‘);</syntaxhighlight> |
||
Für die Extension [https://www.mediawiki.org/wiki/Extension:CategoryTree CategoryTree] bedarf es keiner Konfiguration. |
Für die Extension [https://www.mediawiki.org/wiki/Extension:CategoryTree CategoryTree] bedarf es keiner Konfiguration. |
||
==== CharInsert ==== |
==== [https://www.mediawiki.org/wiki/Extension:Charinsert CharInsert] ==== |
||
In der Datei LocalSettings.php muss folgendes hinzugefügt werden. |
|||
<syntaxhighlight lang="php">wfLoadExtension(‘CharInsert‘);</syntaxhighlight> |
|||
Für die Extension [https://www.mediawiki.org/wiki/Extension:Charinsert CharInsert] bedarf es, wenn die zu Verfügung stehenden Funktionalität als ausreichend gelten, keiner weiteren Konfiguration. |
|||
==== [https://www.mediawiki.org/wiki/Extension:Cite Cite] ==== |
==== [https://www.mediawiki.org/wiki/Extension:Cite Cite] ==== |
||
Line 113: | Line 115: | ||
<syntaxhighlight lang="php">wfLoadExtension(‘Gadgets‘);</syntaxhighlight> |
<syntaxhighlight lang="php">wfLoadExtension(‘Gadgets‘);</syntaxhighlight> |
||
Für die Extension [https://www.mediawiki.org/wiki/Extension:Gadgets Gadgets] bedarf es keiner Konfiguration. |
Für die Extension [https://www.mediawiki.org/wiki/Extension:Gadgets Gadgets] bedarf es keiner Konfiguration. |
||
==== Nuke ==== |
==== [https://www.mediawiki.org/wiki/Extension:Nuke Nuke] ==== |
||
In der Datei LocalSettings.php muss folgendes hinzugefügt werden. |
|||
<syntaxhighlight lang="php">wfLoadExtension(‘Nuke‘);</syntaxhighlight> |
|||
Standardmäßig hat jeder Nutzer der Nutzergruppe "sysop" diese Funktionalität. Dies kann geändert werden, in dem man in der LocalSettings.php für jede Nutzergruppe folgendes einträgt: |
|||
<syntaxhighlight lang="php">$wgGroupPermissions['<Nutzergruppe>']['nuke'] = true; # true - Funktion bei der Gruppe aktiv</syntaxhighlight> |
|||
⚫ | |||
==== Math ==== |
==== Math ==== |
||
Line 125: | Line 131: | ||
==== RenameUser ==== |
==== RenameUser ==== |
||
==== SyntaxHighlighting (GeSHi) ==== |
==== [https://www.mediawiki.org/wiki/Extension:SyntaxHighlight SyntaxHighlighting (GeSHi)] ==== |
||
In der Datei LocalSettings.php muss folgendes hinzugefügt werden. |
|||
<syntaxhighlight lang="php">wfLoadExtension(‘SyntaxHighlight_GeSHi‘);</syntaxhighlight> |
|||
Unter Umständen muss unter Linux das Ausführungsrecht für die Datei ''pygmentize'', welche sich unter dem Pfad /SyntaxHighlight_GeSHi/pygments/ befindet, gesetzt werden. Normalerweise ist das Recht für alle Nutzergruppen gesetzt. |
|||
Ein Beispiel für das Setzen des Rechts: |
|||
<syntaxhighlight lang="bash">chmod a+x /path/to/extensions/SyntaxHighlight_GeSHi/pygments/pygmentize</syntaxhighlight> |
|||
Ansonsten bedarf es keiner weiteren Konfiguration. |
|||
⚫ | |||
==== User Merge and Delete ==== |
==== User Merge and Delete ==== |
||
==== [https://www.mediawiki.org/wiki/Extension:WikiEditor WikiEditor] ==== |
==== [https://www.mediawiki.org/wiki/Extension:WikiEditor WikiEditor] ==== |
Revision as of 17:28, 26 October 2017
Diese Seite erklärt, wie man das Mediawiki des Lehrstuhls Softwarearchitektur erfolgreich migriert. Desweiteren liefert es Techniken, die ein Mediawiki in einigen Bereichen der Sicherheit verbessert.
Der Ist-Zustand des Altsystem
Beim Altsystem handelt es sich um ein TurnKey-Appliance, welches sich für den Einsatz eines Mediawikis spezialisiert ist. Es hat die Version 12. Aktuell w%auml;re die Version 14. Als Betriebssystem liegt Debian in der Version 6.0.7 vor. Aktuell wäre die Version 9. Diese Angaben lassen sich auf der Maschine selbst finden.
Das Mediawiki befindet sich in der Version 1.15. Aktuell wäre zurzeit (Stand Oktober 2017) die Version 1.29<ref></ref>. Die folgende Tabelle zeigt den Unterbau, das das Mediawiki verwendet.
Komponente | Name | Version | Aktuell (Stand Oktober 2017) |
---|---|---|---|
Webserver | Apache | 2.2 | 2.4<ref></ref> |
Datenbank | MySQL | 5.1 | 5.7.19<ref>https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-19.html</ref> |
Programmiersprache | PHP | 5.3 | 7.1<ref>http://php.net/supported-versions.php</ref> |
Diese Angaben können auf der Versionsseite des Mediawiki eingesehen werden.
Auf dem Mediawiki sind folgende Extensions installiert:
- AWC‘s MediaWiki Forum (veraltet) Alternative: WikiForum
- CategoryTree
- CharInsert
- Cite
- ConfirmEdit
- FCKeditor (veraltet) Alternative: WikiEditor
- Gadgets
- Nuke
- Math
- ParserFunctions
- Preloader (veraltet) Alternative: Keine
- RenameUser
- StringFunctions (veraltet) Alternative: ParserFunctions
- SyntaxHighlighting (GeSHi)
- User Merge and Delete
Migration
Vorbereitung
Für die Migration muss ein neues System bereitsstehen, welches mindestens die folgende Software enthält<ref>https://www.mediawiki.org/wiki/Installation#Summary</ref>:
- einen Webserver (beispielsweise Apache)
- PHP
- einen relationenalen Datenbankserver (z.B. MySQL, MariaDB, PostgreSQL)
- ein Mediawiki in der gewünschten Version
Das Mediawiki sollte so eingerichtet sein, dass man es über einen Browser aufrufen kann. Das heißt, der Webserver muss das Mediawiki nutzen können.
Desweiteren wäre es von Vorteil, wenn alle Extensions, die benötigt werden bereits heruntergeladen, entpackt und in das extension Verzeichnis des Mediawikis verschoben sind.
Bemerkungen:
Da es sich beim Altsystem um ein Turnkey-Appliance handelt, muss ein neues System bereitgestellt werden. Laut x ist es nämlich nicht zu empfehlen, Softwareupdates innerhalb eines bestehenden Turnkey System durchzuführen.
Bis auf den Extension Teil kann man sich diese Vorarbeit sparen, in dem man die aktuellste Turnkey-Mediawiki-Appliance nutzt.
Das Betriebssystem kann frei gewält werden, solange es für dieses die notwendige Software gibt. Wir haben, aus Interesse, die Migration unter Ubuntu, Debian und OpenSuse durchgeführt. Bei alle den genannten hat es funktioniert.
Was ist auf dem Altsystem zu sichern?
Auf dem Altsystem sind die folgenden drei Bereiche zu sichern und auf dem neuen System zu übertragen:
- die Datenbank
- die Bilder (Verzeichnis images)
- die Datei LocalSettings.php (auch extensions.php, weil LocalSettings.php diese benutzt)
Die Datenbank kann man mit folgendem Kommandozeilenbefehl sichern. (Es kann auch statt root der Datenbankbenutzer, der in der LocalSettings.php steht genommen werden.)
mysql -u root -p --databases <Databasename> > <Name>.sql
Für die Bilder ist das durchzuführen.
cd /var/lib/mediawiki # Pfad, wo sich das Verzeichnis images befindet.
tar -czf <Name>.tar.gz images/ # Nicht notwendig, erleichert aber den Transport. Packt die Bilder in ein Archiv.
Die LocalSettings.php sowie die extensions.php liegen auf dem Pfad.
/etc/mediawiki
Mit welchen Mitteln die Bereiche zum neuen System übertragen werden, ist jedem selbst überlassen. Beispielsweise kann die Übertragung mit Hilfe des Programms Filezilla oder dem Kommadozeilenprogramm scp vollzogen werden.
Bemerkungen:
In zukünftigen Mediawikis des Lehrstuhls Softwarearchitektur könnten sich Pfade zu den Bildern und der LocalSettings.php ändern.
Gesicherte Bereiche ins neue System einpflegen
Die gesicherte Datenbank kann man auf unterschiedlichen Wegen ins neue System einspielen.
Die gesicherten Bilder sind in das images Verzeichnis des neuen System abzulegen.
tar -xzf <Name>.tar.gz /var/www/mediawiki # Entpackung des Archives an dem Ort, wo sich die Bilder, im Normalfall, befinden.
Für das Logo (Bild, welches sich links oben, auf jeder Seite, innerhalb des Wikis, befindet.) muss in der LocalSettings.php der Wert der Variable $wgLogo angepasst werden. Wenn an der Verzeichnisstruktur des Mediawikis keine individuellen Änderungen durchgeführt wurden, würde beispielhaft diese Zeile funktionieren.
$wgLogo = “$wgResourceBasePath/images/logo.png“; # $wgResourceBasePath beinhaltet , wenn dieser nicht manuell modifiziert wurde.
Die LocalSettings.php
Konfiguartion Apache
Installation / Konfiguration der Extensions
Es wird vorausgesetzt, dass die Extensions sich bereits im extentions Verzeichnis des Mediawikis befinden.
CategoryTree
In der Datei LocalSettings.php muss folgendes hinzugefügt werden.
wfLoadExtension(‘CategoryTree‘);
Für die Extension CategoryTree bedarf es keiner Konfiguration.
CharInsert
In der Datei LocalSettings.php muss folgendes hinzugefügt werden.
wfLoadExtension(‘CharInsert‘);
Für die Extension CharInsert bedarf es, wenn die zu Verfügung stehenden Funktionalität als ausreichend gelten, keiner weiteren Konfiguration.
Cite
In der Datei LocalSettings.php muss folgendes hinzugefügt werden.
wfLoadExtension(‘Cite‘);
Für die Extension Cite bedarf es keiner Konfiguration.
ConfirmEdit
Gadgets
In der Datei LocalSettings.php muss folgendes hinzugefügt werden.
wfLoadExtension(‘Gadgets‘);
Für die Extension Gadgets bedarf es keiner Konfiguration.
Nuke
In der Datei LocalSettings.php muss folgendes hinzugefügt werden.
wfLoadExtension(‘Nuke‘);
Standardmäßig hat jeder Nutzer der Nutzergruppe "sysop" diese Funktionalität. Dies kann geändert werden, in dem man in der LocalSettings.php für jede Nutzergruppe folgendes einträgt:
$wgGroupPermissions['<Nutzergruppe>']['nuke'] = true; # true - Funktion bei der Gruppe aktiv
Ansonsten bedarf es keiner weiteren Konfiguration.
Math
ParserFunctions
In der Datei LocalSettings.php muss folgendes hinzugefügt werden.
wfLoadExtension(‘ParserFunctions‘);
Um die StringFunctions zu aktivieren muss die Datei LocalSetting.php um einen zusätzlichen Eintrag erweitert werden.
$wgPFEnableStringFunctions = true;
Ansonsten bedarf es dieser Extension keiner weiteren Konfiguration.
RenameUser
SyntaxHighlighting (GeSHi)
In der Datei LocalSettings.php muss folgendes hinzugefügt werden.
wfLoadExtension(‘SyntaxHighlight_GeSHi‘);
Unter Umständen muss unter Linux das Ausführungsrecht für die Datei pygmentize, welche sich unter dem Pfad /SyntaxHighlight_GeSHi/pygments/ befindet, gesetzt werden. Normalerweise ist das Recht für alle Nutzergruppen gesetzt.
Ein Beispiel für das Setzen des Rechts:
chmod a+x /path/to/extensions/SyntaxHighlight_GeSHi/pygments/pygmentize
Ansonsten bedarf es keiner weiteren Konfiguration.
User Merge and Delete
WikiEditor
Installiert wird der WikiEditor durch den folgenden Eintrag in der Datei LocalSettings.php.
wfLoadExtension(‘WikiEditor‘);
Zur Erkennung, ob der WikiEditor genutzt wird, können folgende Bilder dienen.
Damit der WikiEditor genutzt werden kann, sind weitere Eintragungen in der Datei LocalSettings.php notwendig.
$wgDefaultUserOptions['usebetatoolbar'] = 1; # 1 = aktiviert / 0 = deaktiviert die Toolbar
$wgDefaultUserOptions['usebetatoolbar-cgd'] = 1; # macht die Toolbar nutzerfreundlicher (z.B. Dialog zur Tabellenerzeugung, Links)
$wgDefaultUserOptions['wikieditor-preview'] = 1; # 1 = aktiviert / 0 = deaktiviert die Tabs Preview und Changes
$wgDefaultUserOptions['wikieditor-publish'] = 1; # 1 = sichtbar / 0 = nicht sichtbar der Buttons Publish (gleicht Save Changes) und Cancel
Bemerkung: JavaScript muss im Browser aktiv sein.
WikiForum
Absicherung
Aufgaben
Mediawiki aktualisieren Erstellung einer Auswahl von Zusatzpaketen Sichere Konfiguration bezüglich Spam und Nutzerverwaltung
Unsere Ziele
Primär geht es darum, das Mediawiki zu aktualisieren, nach nützlichen Zusatzpaketen zu recherchieren und eine sichere Konfiguartion gegen Spam zu finden.
Die Aktualisierung des Mediawikis hat den Grund, dass das System schwer zu pflegen ist. Außerdem besteht, aufgrund der Tatsache, dass das Mediawiki sich in einer nicht mehr vom Entwickler gepflegten Version befindet, die Gefahr, das es bekannte Sicherheitslücken, welche nicht behandelt wurden, das Mediawiki gefährden.
Die Recherche nach nützlichen Zusatzpaketen dient zur Verbesserung der Benutzerfreundlichkeit.
Das Finden einer sicheren Konfiguration gegen Spam hat den Grund, dass in der Vergangenheit auf dem Mediawiki Spam ein Problem darstellt.
Da auch die Komponenten, die
- aktuelle Software % - Migration des Datenbestandes und der Konfiguration % - Beibehalten der Funktionalität % - evtl. Erweiterung bzw. Verbesserung des Systems
Ist-Zustand (Ausgangssituation)
Altsystem
Gegeben ist ein Turnkey-Mediewiki in der Version 12. Auf diesem befindet sich als Betriebsystem Debian 6.0.7. Das Mediawiki liegt in der Version 1.15 vor.
Webserver: Apache 2.2 PHP 5.3 Datenbank: MySQL 5.1 Finden kann man diese Angaben unter Special:Version.
Da Altsystem verwendet folgende Extensions:
- AWC‘s MediaWiki Forum
- CategoryTree
- CharInsert
- Cite
- ConfirmEdit
- FCKeditor
- Gadgets
- Nuke
- Math
- ParserFunctions
- Preloader
- RenameUser
- StringFunctions
- SyntaxHighlighting (GeSHi)
- User Merge and Delete
Relevante Informationen
Laut x ist es nicht empfohlen, Softwareupdates innerhalb auf ein bestehendes Turnkey System durchzuführen. Es empfiehlt gleich eine neue Turnkey-Appliance zu nehmen.
Auf das neue System muss sowohl die Datenbank als auch die Bilder vom Altsystem zur Verfügung gestellt werden.
Die Extensions, die auf dem Altsystem verwendet werden, müssen für das neue System für die entsprechende Mediawiki Version recherchiert werden. Falls welche nicht mehr zu verwenden sind, weil sie als veraltet gelten, dann sind entsprechende Alternativen zu finden. Eine Übertragung der Extensions sei nicht zu empfehlen, da diese von der Version des Mediawikis abhängen und dadurch auf einer neueren Version unter Umständen nicht funktionieren.
Folgende Extentions gelten als veraltet und werden daher nicht mehr gepflegt: AWC‘s MediaWiki Forum FCKeditor Preloader StringFunctions
Mögliche Zielplattformen und Vorgehensweisen
Die Migration wurde auf verschiedenen Plattformen getestet, weil zum Einen ein persönliches Interesse bestand und zum Anderen, weil keine Zielplattform festgelegt wurde.
Auf den folgenden Zielplattformen wurde getestet:
- aktuelle TurnKey Version
- Ubuntu
- Debian
- OpenSuse
Je nach Zielplattform nutzte man Mediawiki aus den Paketquellen oder die händische Installation. Unter händischer Installation ist gemeint, dass sowohl die Für TurnKey ist bereits das Mediawiki, samt dessen Voraussetzungen vorhanden.
Allgemein
Die Migration erfolgt im Allgemeinen in folgenden Phasen:
- Die Datenbank und die Bilder, die das Mediawiki verwendet, auf dem Altsystem sichern.
- Die gesicherte Datenbank und die gesicherten Bilder ins neue System übertragen.
- Datenbank ins neue System einspielen.
- Die Bilder in das entsprechende Verzeichnis des neuen Systems ablegen.
- Die Datei LocalSettings.php auf dem neuen System anpassen (Datenbank, Bilder).
- Die Datei update.php, die sich im Verzeichnis maintenance befindet, ausführen.
- Individuelle Konfigurationen aus dem Altsystem auf dem neuen System, wenn möglich, umsetzen.
- Extension installieren. Wenn nötig konfigurieren und herrunterladen.
Beispielhafter Ablauf
Absicherung
Wenn ein Angreifer das System schädigen will, aus welchen Motiven auch immer, dann würde er versuchen Angriffe durchzuführen, die sich entweder gegen die Datenbank richten, oder direkt den Server betreffen. Angriffe, die den Server betreffen hätten den Zweck, diesen lahm zu legen. Dies würde bedeuten, dass keine Clienten kurzzeitig auf das Mediawiki zugreifen könnten. Ein Angriff gegen die Datenbank wäre die bewusste Fehlmanipulation des Datenbestandes oder die völlige Löschung der Datenbank.
Server
Folgende Ansätze vermeiden die Chance
- Die Datenbank darf nicht von außen zugreifbar sein.
- Der verwendete Webserver muss jede PHP-Datei ausführen.
- Ein vorgeschalteter (D)DoS-Schutz
Mediawiki
Im Mediawiki selbst könnte ein Angreifer für sich einen Account erstellen, um Manipulationen durchzuführen. Oder gleich Anonym. Für die vollständige Löschung benötigt er ein Adminaccount. Aber auch Spambot sind ein Problem.
Sichere Konfiguration für das Mediawiki
Für eine sichere Konfiguration gegen Spam können Extensions helfen.