[sage] Typo3-Installation, the right way(TM)

Joerg Mertin smurphy at solsys.org
Tue Sep 2 14:00:06 CEST 2008 

Naja - leider - wie ueberall ueblich.
Quellen ausserhalb DocumentRoot halten, Symlink drauf - und leider, leider 
followsymlink aktivieren. Sonst kommt man nicht an die Daten ran ...

Sicherheitstechnisch - eine Katastrophe - die allerdings Ihren Ursprung im 
Design hat.

Me thinks - den Entwicklern - die WebSite etc. zusammenstellen - sollte man 
einen 6 Monatigen Sicherheitskurs und Best practices eintrichtern, bevor man 
Sie ueberhaupt an die Programmiereung von sowas ranlaesst :(

Just my 2 cent ;)


On Tuesday, 2. September 2008 13:17:45 Wolfgang Zenker wrote:
> Tach auch,
>
> * Dirk Wetter <dirk.wetter at guug.de> [080902 13:01]:
> > im Rahmen eines Projektes soll eine Webseite mit Typo3
> > auf einer neuen Plattform besser aufgesetzt werden. Die
> > Standardinstallation scheint laut dem Typo3-Experten,
> > der für das Projekt technisch verantwortlich ist,
> > zu sein, sich Typo-Tarballs runterzuladen und im Baum
> > des VirtualHosts zu entpacken. Wenn man Freund Google
> > benutzt, findet man auch nur diese Vorgehensweise.
>
> merkwürden ..
>
> > Dies halte ich für einen ziemlichen Schrott in
> > puncto Sicherheit und Wartbarkeit für mehr als
> > eine Domain/Host. Ich möchte, dass Updates per apt-get
> > eingespielt werden und der Pakethersteller möge sich
> > bitte auch um die Beseitigung der Sicherheitslöcher und
> > etwaige Kompatibilitätstest kümmern.
>
> Der kanonische Weg ist eigentlich, dass man seine TYPO3 Versionen
> in einem Bereich ausserhalb des Webroots auf dem Server liegen hat
> und aus dem Virtual-Host nur ein einzelner Symlink auf die gerade
> verwendete Source-version führt. Versionsupdates bestehen dann
> erstmal aus einem verbiegen dieses Symlinks, sofern die neue
> Version die gleichen DB-Strukturen verwendet (das ist bei Upgrades
> innerhalb der gleichen Serie [also 4.0.*, 4.1.* oder 4.2.*]
> der Fall); wechselt man z.B. von 4.1.x auf 4.2.x kommt noch ein
> Update der DB-Struktur dazu: Dazu führt man das entsprechende
> Skript im TYPO3 Installationstool aus.
>
> > Gibt es dazu eine im meinem Sinne saubere Anleitung,
> > wie man mit die Typo3-Debian-Pakete verwendet und
> > wo der nicht aus der DB bezogene Content liegt
> > bzw. verlinkt wird?
>
> Sorry, kein Plan von Debian. Wir legen den TYPO3 Source üblicher-
> weise nach /usr/local/typo3; in deinem DocumentRoot brauchst Du
> dann den Symlink typo3_src, der auf die aktuell verwendete Source-
> version zeigt. Ansonsten liegen die nicht im Source und nicht in
> der DB liegenden Inhalte im DocumentRoot in den Unterverzeichnissen
> typo3temp (temporäre Dateien, gecachete Bilder, ..), typo3conf
> (Konfigdaten, zusätzlich installierte TYPO3 Extensions, Sprachdateien),
> fileadmin (von den Website-Redakteuren genutztes Filerepository, z.B.
> für Grafikdateien, Download-dateien etc.) und uploads (im Zuge der
> Inhaltsbearbeitung automatisch hochgeladene Dateien, z.B. Grafiken
> für Webseiten). Dann gibts direkt im DocumentRoot noch ein paar
> Symlinks, die nach unterhalb typo3_src zeigen. Das wars, mehr iss nich.
>
> Wolfgang
>
> _______________________________________________
> SAGE mailing list
> SAGE at guug.de
> http://lists.guug.de/mailman/listinfo/sage



-- 
It's all in the mind, ya know.
------------------------------------------------------------------------
| Joerg Mertin              :  smurphy at solsys.org                (Home)|
| in Forchheim/Germany      :  smurphy at linux.de                  (Alt1)|
| Stardust's LiNUX System   :                                          |
| Web: http://www.solsys.org                                           |
------------------------------------------------------------------------
PGP: Public Key Server - Get "0x98885d97170b8b7a"

More information about the SAGE mailing list