Inhaltsverzeichnis

  1. Einführung

  2. Was ist install.lock in Dolibarr?

  3. Wann und wie wird install.lock erstellt?

  4. Warum ist install.lock sicherheitskritisch?

  5. Risiken einer fehlenden oder gelöschten install.lock-Datei

  6. So prüfen Sie Ihre Installation auf install.lock

  7. Manuelles Erstellen der Datei install.lock

  8. Automatisieren der install.lock-Validierung in der Produktion

  9. Häufige Fehler von Administratoren

  10. Reale Exploits und Szenarien zum Verstehen

  11. Wie Dolibarr install.lock intern verwendet

  12. Integrieren von install.lock-Prüfungen in CI/CD-Pipelines

  13. Vergleich von install.lock mit Sicherheitsmechanismen in anderen ERPs

  14. Best Practices für die Verwaltung von install.lock in verschiedenen Umgebungen

  15. Empfehlungen für Hosting-Anbieter und Integratoren

  16. Zusammenfassung

1. Einleitung

In der Welt der Open-Source-ERP- und CRM-Systeme Dolibarr zeichnet sich durch seine Einfachheit, Modularität und einfache Bereitstellung aus. Wie jede webbasierte Anwendung ist sie jedoch nicht immun gegen Fehlkonfigurationen oder Versäumnisse, die zu schwerwiegenden Sicherheitslücken führen können. Ein oft übersehener Aspekt ist das Vorhandensein – oder Fehlen – der install.lock Datei. Diese kleine Datei spielt eine entscheidende Rolle bei der Sicherung Ihrer Dolibarr-Instanz. In diesem ausführlichen Artikel untersuchen wir, was install.lock ist, warum es wichtig ist und wie man verantwortungsvoll damit umgeht.

2. Was ist install.lock in Dolibarr?

Die install.lock Datei ist eine einfache Flag-Datei, die anzeigt, dass der Dolibarr-Setup-Assistent abgeschlossen ist. Wenn vorhanden, blockiert es den Zugriff auf /install/ Verzeichnis, um zu verhindern, dass nicht autorisierte Benutzer die Installationsskripte erneut ausführen, was andernfalls zu einer Gefährdung der Anwendung führen könnte.

Ort:

/dolibarr_root/install.lock

Normalerweise handelt es sich dabei um eine leere Datei oder sie enthält eine kleine Bestätigungszeichenfolge, aber allein ihre Anwesenheit ist entscheidend.

3. Wann und wie wird install.lock erstellt?

Während des ersten Dolibarr-Installationsprozesses:

  1. Sie füllen Datenbankeinstellungen, Administratoranmeldeinformationen und andere Konfigurationsdetails aus.

  2. Sobald der Setup-Assistent erfolgreich abgeschlossen ist, versucht Dolibarr, die install.lock Datei.

Abhängig von den Serverberechtigungen:

  • Die Datei wird automatisch geschrieben, wenn Dolibarr Schreibzugriff auf ihr Stammverzeichnis hat.

  • Wenn nicht, fordert das System den Administrator möglicherweise auf, es manuell zu erstellen.

4. Warum ist install.lock sicherheitskritisch?

Ohne diese Datei:

  • Die /install/ Das Verzeichnis bleibt weiterhin zugänglich.

  • Böswillige Benutzer könnten das Installationsprogramm neu starten.

  • Sie könnten die Konfiguration überschreiben oder das Administratorkennwort zurücksetzen.

  • Dadurch besteht die Gefahr, dass Ihre Daten, Anmeldeinformationen und Geschäftsprozesse entwendet werden.

Es wirkt als Sicherheitstür, wodurch sichergestellt wird, dass die Ersteinrichtung nur einmal ausgeführt werden kann.

5. Risiken einer fehlenden oder gelöschten install.lock-Datei

1. Nicht autorisierte Neuinstallation

Wenn ein Angreifer auf /install/ und das Setup erneut ausführt, können sie das System auf ihre eigene Datenbank verweisen oder Ihre überschreiben.

2. Zurücksetzen der Administratoranmeldeinformationen

Ein offener Installationsassistent kann eine Neudefinition des Administrator-Logins ermöglichen und Eindringlingen so effektiv vollen Zugriff gewähren.

3. Konfigurationsleck

Auch wenn keine Änderungen vorgenommen werden, kann der Setup-Prozess vertrauliche Systemdetails (wie Servername, DB-Typ) offenlegen.

4. Reputations- und Compliance-Schäden

Ein solcher Verstoß kann zu Datenverlust, Datenschutzverletzungen und rechtlichen Konsequenzen führen, abhängig von den Datenschutzgesetzen Ihrer Region.

6. So prüfen Sie Ihre Installation auf install.lock

  1. Verwenden Sie SSH oder Ihren Hosting-Dateimanager, um auf das Dolibarr-Stammverzeichnis zuzugreifen.

  2. Suchen Sie nach einer Datei mit dem Namen install.lock

  3. Bei Fehlen ist Ihr System gefährdet.

  4. Testen Sie durch einen Besuch https://yourdomain.com/dolibarr/install/

    • Wenn der Assistent erscheint, ist die Sperre nicht aktiv.

7. Manuelles Erstellen der Datei install.lock

Wenn Dolibarr die Datei während des Setups nicht schreiben kann:

  1. Erstellen Sie eine neue Datei mit dem Namen install.lock

  2. Platzieren Sie es im Stammverzeichnis von Dolibarr.

  3. Verwenden Sie den Befehl:

touch /var/www/html/dolibarr/install.lock

  1. Oder mit Inhalt:

echo "installed" > /var/www/html/dolibarr/install.lock

  1. Legen Sie die richtigen Berechtigungen fest (z. B. 644).

Dieser einfache Schritt sperrt Ihr System sofort.

8. Automatisieren der install.lock-Validierung in der Produktion

Für Teams mit DevOps-Workflows:

  • Fügen Sie CI/CD-Pipelines ein Skript hinzu, das prüft, ob install.lock

  • Nehmen Sie es in Checklisten zur Serverhärtung auf

  • Verwenden Sie Cron-Jobs, um das Vorhandensein und die Berechtigungen von Dateien zu überwachen

Beispiel Shell-Skript:

if [ ! -f /var/www/html/dolibarr/install.lock ]; then
  echo "[SECURITY ALERT] install.lock is missing!" | mail -s "Dolibarr Warning" admin@yourdomain.com
fi

9. Häufige Fehler von Administratoren

  • Angenommen, Dolibarr hat die Datei automatisch erstellt

  • Löschen install.lock bei Upgrades oder Migrationen

  • Dolibarr auf einen neuen Server verschieben und vergessen, ihn neu zu erstellen

  • Festlegen der falschen Berechtigungen (z. B. „für alle beschreibbar“)

Überprüfen Sie immer install.lock ist nach jeder größeren Systemänderung vorhanden.

10. Reale Exploits und Szenarien zum Verstehen

In einigen Foren und Fehlerberichten haben Administratoren Folgendes mitgeteilt:

  • Nicht autorisierte Änderungen an configuration.php nach der Neuinstallation

  • Ersetzen von Administratoranmeldeinformationen ohne Auslösen von Alarmen

  • Entführte Konten aufgrund der Offenlegung des Installationsprogramms

Diese können verhindert werden, indem die Anwesenheit von install.lock.

11. Wie Dolibarr install.lock intern verwendet

Dolibarr verwendet diese Datei als einfache Bedingung:

  • If install.lock ist vorhanden → Zugriff blockieren auf /install/

  • Falls nicht vorhanden → Zugriff auf den Installationsassistenten aktivieren

Diese Logik ist implementiert in /install/index.php und weltweit durchgesetzt werden.

12. Integrieren von install.lock-Prüfungen in CI/CD-Pipelines

Für Entwickler, die Dolibarr in automatisierten Umgebungen einsetzen:

  • Fügen Sie einen Schritt nach der Bereitstellung hinzu, um zu überprüfen install.lock

  • Beispiel (in GitLab CI):

after_script:
  - test -f /var/www/html/dolibarr/install.lock || exit 1

  • Builds fehlschlagen lassen oder Warnungen auslösen, wenn sie fehlen

Auf diese Weise können Versehen erkannt werden, bevor sie in die Produktion gelangen.

13. Vergleich von install.lock mit Sicherheitsmechanismen in anderen ERPs

System Äquivalent der Sicherheitsflag-Datei Zweck
Dolibarr install.lock Neuinstallation blockieren
WordPress Existenz von wp-config.php Verhindern einer erneuten Ausführung des Setups
Joomla configuration.php-Prüfung Neuinitialisierung verhindern
Prestashop Installationsverzeichnis entfernen Schlossinstallateur

Dolibarr folgt einem ähnlichen Muster, erfordert jedoch häufiger manuelle Überprüfungen.

14. Best Practices für die Verwaltung von install.lock in verschiedenen Umgebungen

  • Immer einbeziehen install.lock in der Produktion, aber aus der Quellcodeverwaltung ausgeschlossen

  • Erlauben Sie niemals, dass es für alle beschreibbar ist

  • Verlassen Sie sich nicht ausschließlich auf Dolibarr; verwenden Sie Webserver-Regeln, um /install/

  • Dokumentieren Sie seine Präsenz in Sicherheitsrichtlinien

  • Stellen Sie sicher, dass diese Datei nicht von Backups ausgeschlossen wird

15. Empfehlungen für Hosting-Anbieter und Integratoren

Wenn Sie Dolibarr als Dienstleistung anbieten:

  • Richten Sie automatische Scans für fehlende install.lock

  • Sperren Sie die /install/ Verzeichnis auf Webserverebene (Apache/Nginx)

  • Benachrichtigen Sie Kunden, wenn die Datei fehlt

  • Stellen Sie Onboarding-Skripte bereit, die diese Datei nach der Installation generieren

16. Schlussworte

Die install.lock Die Datei mag unbedeutend erscheinen, ist aber ein Eckpfeiler der Sicherheitslage von Dolibarr. Ohne sie ist Ihr ERP-System anfällig für Manipulationen. Administratoren, Integratoren und Hosting-Anbieter müssen diese Datei als wesentliche Infrastruktur betrachten.

Regelmäßige Audits, durchdachte Automatisierung und gute Dokumentation gewährleisten den Schutz Ihres Systems. Unterschätzen Sie niemals die Auswirkungen einer fehlenden Sperrdatei.