[sage] Typo3-Installation, the right way(TM)

Stefan Neufeind neufeind at guug.de
Tue Sep 2 13:14:00 CEST 2008 

Dirk Wetter wrote:
> Moin Deutschland et al,
> 
> im Rahmen eines Projektes soll eine Webseite mit Typo3
> auf einer neuen Plattform besser aufgesetzt werden. Die
> Standardinstallation scheint laut dem Typo3-Experten,
> der für das Projekt technisch verantwortlich ist,
> zu sein, sich Typo-Tarballs runterzuladen und im Baum
> des VirtualHosts zu entpacken. Wenn man Freund Google
> benutzt, findet man auch nur diese Vorgehensweise.
> 
> Dies halte ich für einen ziemlichen Schrott in
> puncto Sicherheit und Wartbarkeit für mehr als
> eine Domain/Host. Ich möchte, dass Updates per apt-get
> eingespielt werden und der Pakethersteller möge sich
> bitte auch um die Beseitigung der Sicherheitslöcher und
> etwaige Kompatibilitätstest kümmern.
> 
> Gibt es dazu eine im meinem Sinne saubere Anleitung,
> wie man mit die Typo3-Debian-Pakete verwendet und
> wo der nicht aus der DB bezogene Content liegt
> bzw. verlinkt wird?

Hi Dirk,

zu den Debian-Paketen kann ich dir leider keine Detailfragen 
beantworten. Bei den tar-Archiven ist es allerdings üblich, daß du das 
eigentliche Typo3 (core-Paket quasi) außerhalb des Webroot entpackst. 
Das ist bei Typo3 auch schon so vorgesehen. Für die Website an sich gibt 
es noch ein separates Dummy-Paket zum Download. Dort ist dann ein 
Symlink "typo3_src" enthalten, der üblicherweise auf 
../typo3_src-VERSION zeigt. So kannst du zentral die Typo3-Sourcen für 
mehrere Seiten nutzen und ein Wechsel der Hauptversion ist durch ändern 
des Symlink möglich.

Typo3 selbst unterscheidet sogar auch z.B. zwischen globalen Extensions 
(diese liegen dann in einem Verzeichnis was für alle Präsenzen 
zugreifbar wäre) und lokalen Extensions (die liegen dann in deinen 
Webroot unter typo3conf/ext/). In der Standardinstallation können neue 
Extensions erstmal nur lokal installiert werden - wenn du globale 
Extensions willst, muss das separat aktiviert werden. Wenn eine 
Extension sowohl global als auch lokal vorhanden ist, hat naturgemäß die 
lokale Vorrang.

Sicherheitstechnisch gibt es ein paar best-practices, die seitens des 
Typo3-Projekts z.B. im Security Cookbook veröffentlicht wurden 
(http://typo3.org/teams/security/). Da steht u.a. auch drin man solle 
doch vielleicht das /typo3/-Verzeichnis zum Backend umbenennen (security 
by obscurity).


Hope it helps ...

   Stefan

More information about the SAGE mailing list