MediaWiki/Extension/Lockdown

Aus Foxwiki
Version vom 19. Oktober 2024, 10:09 Uhr von Dirkwagner (Diskussion | Beiträge) (Textersetzung - „= Bekannte Probleme =“ durch „= Problembehebung =“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Lockdown-Erweiterung für Mediawiki - Zugriff beschränken

Beschreibung

Feineres Sicherheitsmodell im Vergleich zu den Standardeinstellungen

Installation

Download

https://www.mediawiki.org/wiki/Special:ExtensionDistributor/Lockdown

Entpacken

$ tar -xzf Lockdown-*.tar.gz -C mediawiki/extensions/

Aktivieren

LocalSettings.php

wfLoadExtension ( 'Lockdown' );

Prüfen

Prüfen, ob die Erweiterung erfolgreich installiert wurde siehe Spezial:Version

Konfiguration

Lockdown kann Zugriffe einschränken, aber nicht erweitern

  • Wurde der Zugriff durch eine MediaWiki-Einstellung verweigert, kann er nicht durch Lockdown zugelassen werden

$wgSpecialPageLockdown

Für spezielle Seite festlegen, welche Benutzergruppen Zugriff darauf haben.

Um beispielsweise die Verwendung von Special:Export auf angemeldete Benutzer zu beschränken, verwenden Sie this in LocalSettings.php:

$wgSpecialPageLockdown [ 'Exportieren' ] =  [ 'Benutzer' ];

Beachten Sie, dass einige spezielle Seiten "nativ" eine bestimmte Berechtigung erfordern.

  • Zum Beispiel erfordert Special:MovePage, das zum Verschieben von Seiten verwendet werden kann, das " move"-Berechtigung (wird standardmäßig nur angemeldeten Benutzern gewährt). Diese Einschränkung kann nicht mit der Lockdown-Erweiterung aufgehoben werden.

Einige spezielle Seitentitel werden nicht so groß geschrieben, wie sie im Wiki erscheinen. Zum Beispiel ist Special:Recent C hanges Recent um es einzuschränken, brauchen Sie:

$wgSpecialPageLockdown [ 'Letzte Änderungen' ] =  [ 'Benutzer' ];

Eine vollständige Liste spezieller Seitentitel finden Sie in der MessagesEn.php Datei $specialPageAliasesarray) oder verwenden Sie alternativ das "siteinfo" API-Modul wie zB /api.php?action=query&meta=siteinfo&siprop=specialpagealiases in Ihrem Wiki.

$wgActionLockdown

$wgActionLockdownkönnen Sie für jede Aktion welche Benutzergruppen Zugriff darauf haben. Um beispielsweise die Verwendung der Verlaufsseite auf angemeldete Benutzer zu beschränken, verwenden Sie dies in LocalSettings.php:

$wgActionLockdown [ 'Verlauf' ] =  [ 'Benutzer' ];

Beachten Sie, dass einige Aktionen auf diese Weise nicht gesperrt werden können. Insbesondere wird es nicht für die funktionieren ajaxHandlung.

$wgNamespacePermissionLockdown

$wgNamespacePermissionLockdown können Sie einschränken, welche Benutzergruppen welche Berechtigungen für welchen Namensraum haben. Um beispielsweise nur Mitgliedern der Sysop-Gruppe Schreibzugriff auf den Projekt-Namespace zu gewähren, verwenden Sie Folgendes:

$wgNamespacePermissionLockdown [ NS_PROJECT ][ 'edit' ] =  [ 'sysop' ];

Platzhalter für den Namensraum oder die Berechtigung (aber nicht beide gleichzeitig) werden unterstützt. Spezifischere Definitionen haben Vorrang:

$wgNamespacePermissionLockdown [ NS_PROJECT ][ '*' ] =  [ 'sysop' ];
$wgNamespacePermissionLockdown [ NS_PROJECT ][ 'read' ] =  [ '*' ];
$wgNamespacePermissionLockdown [ '*' ][ 'move' ] =  [ 'autoconfirmed' ];

Die ersten beiden Zeilen beschränken alle Berechtigungen im Namensraum des Projekts auf Mitglieder der Sysop-Gruppe, erlauben aber dennoch das Lesen für jedermann. Die dritte Zeile begrenzt die Seite in allen Namespaces auf Mitglieder der automatisch bestätigten Gruppe.

Beachten Sie, dass Sie auf diese Weise keine Berechtigungen erteilen können, die nicht durch die integrierte $wgGroupPermissions-Einstellung zugelassen wurden. Folgendes nicht, Änderungen im Haupt-Namespace zu überwachen:

$wgNamespacePermissionLockdown [ NS_MAIN ][ 'Patrouille' ] =  [ 'Benutzer' ];

Stattdessen müssten Sie dieses Recht zuerst in $wgGroupPermissions vergeben und es dann mit $wgNamespacePermissionLockdown wieder einschränken:

$wgGroupPermissions [ 'Benutzer' ][ 'Patrouille' ] =  true ;
$wgNamespacePermissionLockdown [ '*' ][ 'patrouille' ] =  [ 'sysop' ];
$wgNamespacePermissionLockdown [ NS_MAIN ][ 'Patrouille' ] =  [ 'Benutzer' ];

Beachten Sie, dass beim Einschränken des Lesezugriffs auf einen Namespace die Einschränkung leicht umgangen werden kann, wenn der Benutzer Lesezugriff auf einen beliebigen anderen Namespace hat: Indem eine lesegeschützte Seite als Vorlage eingefügt wird, kann sie sichtbar gemacht werden. Um dies zu vermeiden, müssten Sie die Verwendung von Seiten aus diesem Namensraum als Vorlagen verbieten, indem Sie die ID des Namensraums zu $wgNonincludableNamespaces hinzufügen :

$wgNamespacePermissionLockdown [ NS_PROJECT ][ 'read' ] =  [ 'user' ];
$wgNonincludableNamespaces [] =  NS_PROJEKT ;

Sie können Lockdown natürlich auch mit benutzerdefinierten Namespaces verwenden, die mit $wgExtraNamespaces :

// benutzerdefinierte Namespaces definieren
$wgExtraNamespaces [ 100 ] =  'Private' ;
$wgExtraNamespaces [ 101 ] =  'Privatgespräch' ;
// "Lese"-Berechtigung auf angemeldete Benutzer
beschränken $wgNamespacePermissionLockdown [ 100 ][ 'read' ] =  [ 'user' ];
$wgNamespacePermissionLockdown [ 101 ][ 'read' ] =  [ 'user' ];
// verhindern, dass Seiten aus diesem Namespace
aufgenommen werden $wgNonincludableNamespaces [] =  100 ;
$wgNonincludableNamespaces [] =  101 ;

Beachten Sie, dass benutzerdefinierte Namespaces immer paarweise definiert werden sollten, der eigentliche Namespace (mit einer geraden ID) und der zugehörige Talk-Namespace (mit einer ungeraden ID).

Wenn Sie Konstanten verwenden möchten, um auf Ihre Namespaces zu verweisen, müssen Sie diese definieren:

// Konstanten für Ihre benutzerdefinierten Namespaces definieren, für eine besser lesbare Konfiguration
define ( 'NS_PRIVATE' , 100 );
definieren ( 'NS_PRIVATE_TALK' , 101 );
// benutzerdefinierte Namespaces definieren
$wgExtraNamespaces [ NS_PRIVATE ] =  'Private' ;
$wgExtraNamespaces [ NS_PRIVATE_TALK ] =  'Privatgespräch' ;
// "Lese"-Berechtigung auf angemeldete Benutzer
beschränken $wgNamespacePermissionLockdown [ NS_PRIVATE ][ 'read' ] =  [ 'user' ];
$wgNamespacePermissionLockdown [ NS_PRIVATE_TALK ][ 'read' ] =  [ 'user' ];
// Einschluss von Seiten aus diesem Namespace verhindern
$wgNonincludableNamespaces [] =  NS_PRIVATE ;
$wgNonincludableNamespaces [] =  NS_PRIVATE_TALK

Sie könnten auch array_fill() , um mehrere Namespaces auf einmal einzuschränken, z. B.  wenn Sie die Namespaces 0 bis 2009 auf die Bearbeitung nur durch Sysops beschränken wollten:

$wgNamespacePermissionLockdown =  array_fill ( 0 , 2010 , [ 'edit' =>  [ 'sysop' ] ] );

$wgNamespacePermissionLockdown vs. $wgActionLockdown

$wgActionLockdownwird wesentlich früher (im MediaWikiPerformAction-Hook ) im Request-Handling-Prozess überprüft als $wgNamespacePermissionLockdown(was im getUserPermissionsErrors-Hook ).

Wenn eine Aktion das $wgActionLockdownnicht zulassen versucht wird, wird ein Berechtigungsfehler angezeigt. Ebenfalls, $wgNamespacePermissionLockdownteilt dem Endbenutzer mit, welche Gruppen die Aktion ausführen dürfen.

Anwendungen

Beispiel

So verwenden Sie Lockdown für Folgendes:

  • Zugriff auf Spezial:Export für eingeloggte Benutzer (registrierte Benutzer) verhindern
  • Bearbeitung des Projektnamensraums auf eingeloggte Benutzer beschränken (registrierte Benutzer)

Sie können dann Folgendes verwenden:

$wgSpecialPageLockdown [ 'Exportieren' ] =  [ 'Benutzer' ];
$wgNamespacePermissionLockdown [ NS_PROJECT ][ 'edit' ] =  [ 'user' ];

The following pages about the security model used by MediaWiki per default may be helpful to understand the instructions below:

Gruppen

  • Steuern, welcher Benutzer zu welchen Gruppen gehört Special:Userrights .
  • Es werden nur bestehende Gruppen vorgeschlagen
    • aber Sie können eine neue Gruppe "erstellen"
    • indem Sie einen Eintrag dafür in $wgGroupPermissions erstellen
    • auch wenn Sie dort eigentlich keine Berechtigung setzen müssen, aber sie muss auf der linken Seite erscheinen des Arrays
Beispiel
$wgGroupPermissions [ 'somegroupname' ][ 'read' ] =  true ;
Weitere Informationen

Zusätzliche Maßnahmen

Bilder und andere hochgeladene Dateien

Bilder und andere hochgeladene Dateien können weiterhin angezeigt und auf jeder Seite eingefügt werden. Schutzmaßnahmen für den Image-Namensraum verhindern dies nicht. Sie Handbuch: Bildautorisierung Informationen zum Verhindern des unbefugten Zugriffs auf Bilder Siehe auch: * NSFileRepo


Problembehebung

Es ist bekannt, dass Lockdown für MW 1.27.x bis 1.30.x gebrochen wurde [1 ]. Mögliche Nebenwirkungen der Verwendung sind:

  • Unvollständige Liste der Namespaces, die unter der Registerkarte Erweitert von Special:Search und auf der speziellen Seite für ReplaceText angezeigt werden
  • Das Suchfeld bietet für bestimmte Namensräume keine automatische Vervollständigung mehr an

Eine Problemumgehung besteht möglicherweise darin, alle Namespaces unter $wgContentNamespaces aufzulisten , aber der Erfolg ist nicht garantiert. Eine andere vorübergehende Lösung besteht darin, eine Version vor den Breaking Commits zu verwenden, wie in Topic:Tr4xxpln3fnpz3eu beschrieben .


Anhang

Sicherheit

Dokumentation

Links

Siehe auch

Links

Weblinks
  1. Kategorie/Erweiterungen für Benutzerrechte
  2. GroupManager (BlueSpice) - zum Hinzufügen, Bearbeiten und Löschen von Benutzergruppen
  3. PermissionManager (BlueSpice) - zur Verwaltung von Benutzerrechten auf Benutzergruppen
  4. UserProtect – Ermöglicht pro Benutzer pro Recht pro Seite Schutz
  5. AccessControl - Ermöglicht das Einschränken des Zugriffs auf bestimmte Seiten und Dateien
  6. CategoryLockdown – Ermöglicht das Einschränken des Zugriffs nach Kategorie und Gruppe