一般來說，各位大德接觸到最多的 Drupal 安全控管，應該就是「角色 (Roles)」，沒錯，Drupal 的安全控管大部分來說都是以使用者的角色為基礎，不過，這是以節點和模組為主的部分，其實整個 Drupal 的安全還包含幾個其它的部分，阿舍今天就是說明一下如何運用這些功能來達到有效達成安全控管的目的。

不談包含 Drupal 程式撰寫的安全問題，Drupal 提供有四大功能來從事安全控管的工作，而這些功能都集中在 「管理」 › 「使用者管理」裡，第一個要提的就是「使用者設定」，這個用來控制使用者的註冊模式，一般來說，基於避免被垃圾註冊的攻擊，阿舍會建議各位大德啟用「當使用者建立帳號時，需要進行電子郵件確認。」的功能，這個步驟可以提高經由程式來自動註冊的困難度，可減少被大量註冊的可能，所以，這裡是減少被入侵的重要設定之一。

而第二個便是「角色」，這個「角色」在未配合「權限控管」的設定前，其實功用不大，要配合權限的配置後才有效果，不過，在配置權限之前，各位大德還是要考慮到網站管理的分工模式，然後再依分工的內容來劃分權限，會是比較好的方式。

但是，在劃分權限時要注意，Drupal 的權限模式是比較適合使用堆疊的方式，也就是說，每一個角色應只有特定的需要權限，使用者的權限再依角色所具有的權限來給定，因為任何已註冊的使用者會具有一個天生的角色，就是"authenticated user"，所以當這個角色已經有權限，就不需要再其他角色裡重複給定相同的權限，只要給 "authenticated user" 所沒有的權限即可。

上述的這種方式至少可以帶來二種好處，一是避免複雜，當角色和角色之間都具有部相同權限時，在使用者被賦予二種以上的角色時，容易因交錯的權限而發生不當的權限組合，產生安全的漏洞而不自知。第二則是方便管理，任何的角色都只有特定功能所需要的權限，這樣從使用者的角色中就可瞭解這個使用者所具有的權限，而不需要去一個個的檢查每個角色的權限，在管理上就不容易因誤置角色而產生問題。

再來的第三個功能即是有關「權限控管」的部分，「權限控管」幾乎都是和著模組相關的，幾乎每一個模組都會帶著自己的權限控制的項目，所以，各位大德每裝好一個模組，就應該到「管理」 › 「使用者管理」› 「權限控管」裡，檢查是否有該模組的權限控管的項目，然後設定適當的權限。

在權限控管裡有一個東西要請各位大德注意一下，那就是在 Druapl 裡，很多的權限都是採「未設定即表示開放」的模式，在沒有直接設定那些角色可以用，那些角色不能用的情況下，那就是表示該權限是任何人都可以用的，所以，如果不做明確的設定是有風險的，除非各位大德很確定該功能可以給任何人用，否則，至少在 "authenticated user" 和 "anonymous user" 之間給勾一個，不過，阿舍還是建議各位大德能建立一個叫 "administrator" 的角色，把一些還不確定要開放給誰或不打算開放的角色勾給它，這樣至少可以避掉那個預設的權限模式所帶來的風險。

最後一個功能就是「存取規則」，這個就是比較以網站為基礎的安全控管項目了，它提供依「使用者名稱」、「電子郵件」及「主機」等三個項目來進行控管，這個功能通常是會用在網站已經被攻擊後，依據在日誌或其它輔助工具中查出的攻擊者資訊，在這裡設定來予以阻擋。

人家說樹大招風，網站的流量大到一定的程度之後，被攻擊的機會就會變高，所以經常檢視日誌是必要的，如果有發現一些異常的訪客網址或使用者，那麼就應該多注意，一旦發現真的有問題，那就不要客氣的把它放進去，不過，請不要一放進去就忘了，還是要經常更新，不然，應該是會對效能有影響的吧 ! 總是要多檢查和比對一個項目的。

講完上面四個功能之後，阿舍還要提一下的是那個神奇的 No. 1 使用者，各位大德大概都瞭這個使用者是天生的 Drupal 網站管理者，擁有天生的各種權限，不過，依據阿舍的經驗，雖然說它有天生的神力，可是在很多的選用模組裡會有問題，尤其是需要設定 Profile 的模組，就會有可能發生管不到它的情形，所以，阿舍是建議各位大德還是設定一個角色給它會比較好，像上面提到的 administrator 角色也不錯。

另外，各位大德如果要測試權限時，阿舍建議多註冊一個使用者來測會比較好，阿舍就曾經有過因為用 1 號使用者而測不出結果的情形...=____=!!。

網站的流量越高，被攻擊的機會就越高，對於權限控管就要多加小心才是，不然辛苦建立的網站被無端搗毀就會十分的不爽哩!! ...-___-!!，除了上述功能外，各位大德如果再加裝 CAPTCHA 模組，就會更安全了..呵...呵。