Ein wichtiger Hinweis aus einem Artikel im englischen Forum:
Nach der Installation von Dolibarr muss unbedingt die Datei install.lock im Dokumentenverzeichnis erstellt werden, um einen unberechtigten Zugriff auf Dolibarr zu verhindern. Dies ist entsprechend in den Installationsanleitungen erläutert und in Dolibarr erscheint ansonsten auch ein Warnhinweis.
Warum ist das so wichtig? Ansonsten kann ein Außenstehender einen Admin-Account anlegen und hat darüber vollen Zugriff auf den Server mit allen Möglichkeiten, inklusive z.B. der Löschung oder Verschlüsselung der Daten auf dem Server.
Es gibt im Internet offenbar bereits Anleitungen, wie fehlerhaft installierte Dolibarr-Instanzen (also solche ohne install.lock-Datei) angegriffen werden können. Es ist also spätestens jetzt an der Zeit zu überprüfen, ob die eigene Installation sicher konfiguriert ist.
Vielen Dank für den Hinweis.
Nach dem Update von 15.0.2 auf 16.0.1 mit dem Scrpit von Softaculous gibt es im Admin-Menu den Sicherheitsbericht nicht mehr und es erscheinen auch keine Warnhinweise beim Systemstart.
Sind der Datei Install.lock besondere Rechte zuzuweisen oder genügt für alle Benutzergruppen „Nur Lesen“ ?
Die Rechte für die Datei install.lock sind egal. Es wird nur überprüft, ob die Datei existiert, sie wird nicht geöffnet. Dazu reicht es, wenn vom Webserver auf das Verzeichnis zugegriffen werden kann.
