FuelPHP の「衝撃の Quick Installation 」が嫌な方へ

FuelPHP のドキュメントでは、クイックインストールは次のようになっています。

# oil を Web からクイックインストールします
$ curl get.fuelphp.com/oil | sh
# oil が、たった今、インストールされました。Sites ディレクトリで blog プロジェクトを作ります
$ cd Sites/
$ oil create blog

しかし、このコマンドは中で sudo を使っているため、

http://twitter.com/#!/brtriver/status/201196024545546240

という方もいます。私も素直にこのコマンドを打ったりはしませんでした。

ということで、「いきなり Web から取得した結果を実行させたり、しかも sudo のパスワード聞かれる。なにこれこわい」というセキュリティに敏感な方でも安心できるクイックインストール方法を考えました。

~/bin/ が存在し、パスが通っていることが前提です。

$ cd ~/bin; curl --silent http://get.fuelphp.com/installer.sh > oil; chmod +x oil; openssl md5 oil; openssl sha1 oil
MD5(oil)= 0b58464c388cdbb90d01b06f3ddd1739
SHA1(oil)= d154e1f40e51272f71c6b0c3b27ad30c55138fd5
$ cd Sites/
$ oil create blog

3行に収めることで、衝撃感をできるだけ維持しました。

そもそも、ユーザが自分しかいない自分のマシンで使う場合、/usr/bin にインストールする必要性はありません。~/bin/ にインストールするだけで充分です。

インストールした oil コマンドが改竄されていないか、MD5SHA1 の値をよく確認しておきましょう。ただし、このブログは SSL で保護されているわけでもないので、DNS Spoofing などの攻撃手法を使えば、このブログのコンテンツ自体を改竄することも可能ですので、ご注意ください。