讓一個系統能夠變得更加堅固的最好辦法是將系統獨立出來。請參考你公司的安全管理策略和相關人員來找到你公司應該採用何種安全策略。這裡有很多事情需要我們考慮，例如考慮如何安裝我們的作業系統，應用伺服器，資料庫伺服器，網路，防火牆，路由等。

這裡我們有可能對這些配置進行一些基本的描述。

這個頁面中的安全配置是基於我們已知情況下的最好配置了。

配置 Web 伺服器

請參考有關係統管理員中的下面有關的資訊：

配置應用伺服器

請參考下面有關應用伺服器級別的系統管理員指南：

配置應用

有關如何你在 Confluence 設定角色，許可權和過程的方法將會對 Confluence 產生很大的影響，不同的設定導致的安全結果也是不同的。

下面是有關一些 Confluence 特定的內容需要考慮的。沒有任何安全設定都能夠保證 100% 的安全的。這些安全策略被用來降低安全攻擊對你係統產生的影響而讓你係統能夠更好的持續執行。

• 保持 Confluence 中只有少數使用者具有管理員許可權。基本上來說越少越好。例如，最多不要超過 3 個系統管理員。
• 同樣的，限制具有較高許可權的和使用者組中的使用者數量。如果只有一個部分應該訪問敏感資料的話，那麼限制這個敏感部門的使用者數量。不要為了方便而不為這些使用者設定特定的安全策略。不要給不需要訪問敏感資料的使用者的訪問許可權。
• 管理使用者應該針對他們的管理員級別不同設定有不同的 Confluence 賬號，這個賬號應該與這些使用者每天都使用的賬號區分開來。如果John Doe 是一個系統管理員的話，他應該有一根常規的使用者賬號，這個賬號不應該具有管理員許可權來讓他進行每天的工作（例如在 WIKI 寫頁面等）。這個賬號可能被設定為 'john.doe' account。同時，這個使用者應該還有一個完全不同的賬號（這個賬號應該不容易被外界隨便猜測出來，甚至都不應該使用他規則的名字）來進行管理員相關的操作。這個賬號可能為'jane smith' – 使用這個名字為一個假的名字，外界甚至沒有辦法猜測這個名字。這種設定的好處是，如果攻擊者獲得了 John Doe 的所有資訊，包括 John Doe 的密碼（可能是從 John Doe 的個人賬號中偷出來的），但是攻擊者沒有辦法確定管理員使用者的使用者名稱，因此攻擊者也還是不能登入管理員系統進系統相關的操作。
• 限制管理員操作只有你才可以做。如果你不需要你的管理員在公司外部的網路進行進行任何管理操作的話，你可以限制管理員操作的介面只要特定的 IP 地址才能訪問管理員介面中的的配置資訊。請參考頁面 Using Apache to limit access to the Confluence administration interface 中的內容進行配置。
• 當員工進行離職的時候，你需要建立公司員工的離職策略，並形成文字。
• 按時進行安全審查。瞭解當系統被攻擊的時候，誰可以幫助你解決問題。進行 ‘如果這樣了’ 我們應該進行如何操作的議題。（當用戶在外出度假的時候密碼被偷竊了，我們最糟糕的情況將會面臨什麼？我們將如何減少損失？）。
• 請確定你的 Confluence 資料庫使用者（和所有資料來源的使用者）具有隻他們需要的許可權，不要大範圍賦權。
• 監控你的檔案系統中的檔案。如果一個攻擊者希望獲得你係統中的使用者資訊，他們通常會嘗試獲得多個賬號的訪問許可權。有時候這個通過新增惡意程式碼來實現的，比如通過修改你檔案系統中的檔案。對你作業系統上的檔案，可以考慮執行常規的校驗來確定沒有惡意程式碼被新增到你文靜系統中。

其他需要小心考慮的地方：

• 按時對上面描述的內容進行監控。很多事情在開始的時候可能沒有問題，但是隨著時間的進展，可能會導致問題惡化：
  • 一個系統在開始的時候確實只有 3 個系統管理員，但是隨著時間的推移和變化同時也沒有人對系統管理員數量進行控制的話，一年後可能系統中有 30 個管理員了。
  • Apache 的管理員的限制可能在系統開始的時候是正確安裝限制的，但是隨著系統進行了多次升級後，我們可能忘了更新 Apache 的安全訪問策略了。

再次說明的是，上面的所有安全配置可能不是所有你需要設定的安全資訊和功能，安全設定與你係統安全的需求還是有很大關係的。同時，請注意沒有人能夠在安全上能夠進行完全的保證。我們只能讓攻擊變得更加困難，我們好有足夠的時間修復我們發現的問題。