en
Език
  • en
  • de
  • fr
  • es
  • br
  • ru
  • jp
  • kr
AI превод
  • ae
  • cn
  • vn
  • id
  • eu
  • il
  • gr
  • no
  • fi
  • dk
  • se
  • tr
  • bg
  • nl
  • it
  • pl
  • hu
  • ro
  • ua
  • cs

Как да запазите вашия Redmine сървър защитен

сигурност

0. Въведение

В тази статия ще намерите някои съвети (включително силни препоръки) как да запазите вашия (Easy) Redmine безопасен и устойчив. Някои съвети може да изглеждат очевидни, но добрият контролен списък трябва да съдържа всичко.

1. Използвайте https връзка

- създайте самоподписан сертификат или купете надежден. Инструкции как да създадете самоподписан сертификат можете да намерите тук - https://devcenter.heroku.com/articles/ssl-certificate-self
- настройте вашия уеб-сървър да поддържа правилно защитената връзка. Напълно ограничете заявките от 80 или 8080 порта или настройте правилното им маршрутизиране към защитен порт. Подробни инструкции за сигурна конфигурация на nginx са достъпни директно в инсталационния пакет Easy Redmine под doc/INSTALL.
- във вашите (Лесни) настройки на Redmine (Администриране >> Настройки) настройте правилния тип протокол (HTTPS). Това е много важна, но често пропускана точка. Моля, не забравяйте, че не всички приставки на Redmine използват правилни маршрути от системата. Някои от тях търсят само тази специфична настройка, за да определят какъв протокол трябва да се използва. Не е правилно, но се случва. Затова е по -добре да сте сигурни, че протоколът винаги ще бъде https.
- за да проверите качеството на вашата SSL конфигурация, можете да използвате инструменти като https://www.ssllabs.com/ssltest/
- ако има изображения или други данни, които вземате от други сайтове (например лога, източници на изображения), уверете се, че те използват и протокол https. В противен случай теоретично може да причини неясно нарушение във вашата система. Можете лесно да проверите дали всичко е наред с вашия сайт или не. Ако има източници от http, браузърът ви ще подчертае вашия протокол с червен цвят и понякога може да бъде зачеркнат. Но като цяло тази последна точка е свързана най -вече с образованието и дисциплината на вашите потребители. Някои неща не могат да бъдат принудени.

2. Проверете и разделете разрешенията

- уверете се, че приложението ви не работи от root (поне публични папки, tmp, файлове, дневник). Силно препоръчваме цялото приложение + рубин да бъде инсталирано от конкретен потребител.
- уверете се, че нямате разрешения като 777 за папки с приложения. Оптималните разрешения са 755 или за някои файлове 644.

3. Дръжте неизползваните портове затворени

Помолете системните си администратори или хостинг доставчици да затворят всички неизползвани портове. Отворете ги само в случай, че трябва да актуализирате системата, рубина или приложението.

4. Използвайте силни пароли

И се уверете, че не използвате една и съща парола за вашия потребител на root сървър, потребител на root база данни, потребител на сървър на приложения, потребител на база данни и администратор или друг потребител във вашето приложение. Всички пароли трябва да са различни, достатъчно дълги - поне 15 символа, съдържащи букви, цифри и специални символи ... или просто просто дълги (https://xkcd.com/936/). Не изпадайте в състояние на летаргия и не забравяйте да променяте паролите поне в приложението поне на всеки 6 месеца.

5. Актуализирайте редовно вашия сървър и приложение

Много е важно да поддържате всичко актуално. Светът се променя всеки ден. Светът на ИТ се променя още по -бързо. Всеки ден се откриват нови слабости и се създават нови протоколи за безопасност. Ако използвате остарели приложения - увеличавате риска от атаки или измами чрез вашия сървър. Кога за последно актуализирате рубигемите си?

6. Внимавайте с качените файлове

Препоръчваме ви да дефинирате разширения на файлове, които могат да се качват на вашия сървър. Можете да го направите както от вашия уеб сървър, така и отвътре (Лесно) Redmine (Администриране >> Настройки >> Файлове). Как да ограничите или разрешите конкретни файлови разширения в nginx може да намерите тук - https://www.ruby-forum.com/t/only-allow-certain-file-extensions/161296/3. Ако имате настройки и на двете едновременно, уеб сървърът печели.
Друг вариант е да разгърнете антивирус, за да проверите всички качени файлове на сървъра. Една безплатна опция е ClamAV.

Това не е всичко ...

Тези съвети са минимумът, който позволява на администратора на Redmine да спи спокойно - приложението е защитено. Но естествено можете да добавите още слоеве защита, ако е необходимо (прокси, обратен прокси, VPN, IP филтър и т.н.)

Опитайте Easy Redmine за 30 дни безплатен пробен период

Пълни функции, SSL защитени, ежедневни архиви, във вашето геолокация