Kontakt z Działem SprzedażyRozpocznij darmowy okres próbny
en
Wybierz język
  • en
  • de
  • fr
  • es
  • br
  • ru
  • jp
  • kr
Tłumaczenie SI
  • ee
  • ae
  • cn
  • vn
  • id
  • eu
  • il
  • gr
  • no
  • fi
  • dk
  • se
  • tr
  • bg
  • nl
  • it
  • pl
  • hu
  • ro
  • ua
  • cs
łatwy Redmine
Zasoby
Dokumenty
09. Administracja
12. Dla administratorów serwerów i programistów
Jak zapewnić bezpieczeństwo serwera Redmine?

Jak zapewnić bezpieczeństwo serwera Redmine?

bezpieczeństwo

0. Wstęp

W tym artykule znajdziesz kilka porad (w tym mocne zalecenia), jak zachować (Łatwy) Redmine bezpieczny i odporny. Niektóre wskazówki mogą wydawać się oczywiste, ale dobra lista kontrolna powinna zawierać wszystko.

1. Użyj połączenia https

- utwórz certyfikat z podpisem własnym lub kup zaufany. Instrukcję tworzenia certyfikatu z podpisem własnym można znaleźć tutaj - https://devcenter.heroku.com/articles/ssl-certificate-self
- skonfiguruj serwer sieciowy, aby prawidłowo utrzymywał bezpieczne połączenie. Całkowicie ogranicz żądania z portów 80 lub 8080 lub skonfiguruj ich prawidłowy routing do zabezpieczonego portu. Szczegółowe instrukcje dotyczące bezpiecznej konfiguracji nginx są dostępne bezpośrednio w pakiecie instalacyjnym Easy Redmine w doc/INSTALL.
- w ustawieniach (Łatwe) Redmine (Administracja >> Ustawienia) ustaw prawidłowy typ protokołu (HTTPS). To bardzo ważny, ale często pomijany punkt. Pamiętaj, że nie wszystkie wtyczki Redmine używają poprawnych tras z systemu. Niektóre z nich szukają tylko tego konkretnego ustawienia, aby określić, jaki protokół powinien być używany. To nie jest poprawne, ale się zdarza. Dlatego lepiej mieć pewność, że protokół będzie zawsze https.
- w celu weryfikacji jakości konfiguracji SSL możesz skorzystać z narzędzi takich jak https://www.ssllabs.com/ssltest/
- jeśli są jakieś obrazy lub inne dane, które pobierasz z innych witryn (na przykład logo, źródła obrazów), upewnij się, że korzystają one również z protokołu https. W przeciwnym razie może teoretycznie spowodować niejasne naruszenie w twoim systemie. Możesz łatwo sprawdzić, czy wszystko jest w porządku z Twoją witryną, czy nie. Jeśli są jakieś źródła z http, twoja przeglądarka podświetli twój protokół na czerwono i czasami może być przekreślony. Ale ogólnie rzecz biorąc, ten ostatni punkt dotyczy głównie edukacji i dyscypliny użytkowników. Niektórych rzeczy nie da się wymusić.

2. Sprawdź i podziel uprawnienia

- upewnij się, że Twoja aplikacja nie jest uruchomiona z poziomu roota (przynajmniej foldery publiczne, tmp, pliki, log). Zdecydowanie zalecamy, aby cała aplikacja + ruby ​​została zainstalowana przez określonego użytkownika.
- upewnij się, że nie masz uprawnień takich jak 777 do żadnego folderu aplikacji. Optymalne uprawnienia to 755, a dla niektórych plików 644.

3. Nieużywane porty powinny być zamknięte

Poproś administratorów systemu lub dostawców hostingu o zamknięcie wszystkich nieużywanych portów. Otwórz je tylko na wypadek konieczności aktualizacji systemu, ruby ​​lub aplikacji.

4. Używaj silnych haseł

I upewnij się, że nie używasz tego samego hasła dla głównego użytkownika serwera, głównego użytkownika bazy danych, użytkownika serwera aplikacji, użytkownika i administratora aplikacji bazy danych ani żadnego innego użytkownika wewnątrz aplikacji. Wszystkie hasła powinny być różne, wystarczająco długie - co najmniej 15 znaków, zawierające litery, cyfry i symbole specjalne... lub po prostu długie (https://xkcd.com/936/). Nie popadaj w stan letargu i upewnij się, że zmieniasz hasła przynajmniej w aplikacji przynajmniej co 6 miesięcy.

5. Regularnie aktualizuj serwer i aplikację

Bardzo ważne jest, aby wszystko było aktualne. Świat zmienia się każdego dnia. Świat IT zmienia się jeszcze szybciej. Każdego dnia odkrywane są nowe słabości i tworzone są nowe protokoły bezpieczeństwa. Jeśli korzystasz z przestarzałych aplikacji - zwiększasz ryzyko ataków lub oszustw za pośrednictwem swojego serwera. Kiedy ostatnio aktualizowałeś swoje rubygems?

6. Uważaj na przesyłane pliki

Zalecamy zdefiniowanie rozszerzeń plików, które można przesyłać na serwer. Możesz to zrobić zarówno ze swojego serwera internetowego, jak i od wewnątrz (łatwe) Redmine (Administracja >> Ustawienia >> Pliki). Jak ograniczyć lub zezwolić na określone rozszerzenia plików w nginx, możesz znaleźć tutaj - https://www.ruby-forum.com/t/only-allow-certain-file-extensions/161296/3. Jeśli masz ustawienia na obu w tym samym czasie, serwer sieciowy wygrywa.
Inną opcją jest wdrożenie programu antywirusowego, aby sprawdzić wszystkie przesłane pliki na serwerze. Jedną z bezpłatnych opcji jest ClamAV.

To nie wszystko...

Te wskazówki to minimum, które pozwala administratorowi Redmine spać spokojnie - aplikacja jest bezpieczna. Ale oczywiście możesz dodać więcej warstw ochrony, jeśli jest to wymagane (proxy, reverse proxy, VPN, filtr IP itp.)

Wypróbuj Easy Redmine w 30-dniowym bezpłatnym okresie próbnym

Pełne funkcje, ochrona SSL, codzienne kopie zapasowe w Twojej geolokalizacji