配置 Confluence 6 安全的最佳實踐
讓一個系統能夠變得更加堅固的最好辦法是將系統獨立出來。請參考你公司的安全管理策略和相關人員來找到你公司應該採用何種安全策略。這裡有很多事情需要我們考慮,例如考慮如何安裝我們的作業系統,應用伺服器,資料庫伺服器,網路,防火牆,路由等。
這裡我們有可能對這些配置進行一些基本的描述。
這個頁面中的安全配置是基於我們已知情況下的最好配置了。
配置 Web 伺服器
請參考有關係統管理員中的下面有關的資訊:
配置應用伺服器
請參考下面有關應用伺服器級別的系統管理員指南:
配置應用
有關如何你在 Confluence 設定角色,許可權和過程的方法將會對 Confluence 產生很大的影響,不同的設定導致的安全結果也是不同的。
下面是有關一些 Confluence 特定的內容需要考慮的。沒有任何安全設定都能夠保證 100% 的安全的。這些安全策略被用來降低安全攻擊對你係統產生的影響而讓你係統能夠更好的持續執行。
- 保持 Confluence 中只有少數使用者具有管理員許可權。基本上來說越少越好。例如,最多不要超過 3 個系統管理員。
- 同樣的,限制具有較高許可權的和使用者組中的使用者數量。如果只有一個部分應該訪問敏感資料的話,那麼限制這個敏感部門的使用者數量。不要為了方便而不為這些使用者設定特定的安全策略。不要給不需要訪問敏感資料的使用者的訪問許可權。
- 管理使用者應該針對他們的管理員級別不同設定有不同的 Confluence 賬號,這個賬號應該與這些使用者每天都使用的賬號區分開來。如果John Doe 是一個系統管理員的話,他應該有一根常規的使用者賬號,這個賬號不應該具有管理員許可權來讓他進行每天的工作(例如在 WIKI 寫頁面等)。這個賬號可能被設定為 'john.doe' account。同時,這個使用者應該還有一個完全不同的賬號(這個賬號應該不容易被外界隨便猜測出來,甚至都不應該使用他規則的名字)來進行管理員相關的操作。這個賬號可能為'jane smith' – 使用這個名字為一個假的名字,外界甚至沒有辦法猜測這個名字。這種設定的好處是,如果攻擊者獲得了 John Doe 的所有資訊,包括 John Doe 的密碼(可能是從 John Doe 的個人賬號中偷出來的),但是攻擊者沒有辦法確定管理員使用者的使用者名稱,因此攻擊者也還是不能登入管理員系統進系統相關的操作。
- 限制管理員操作只有你才可以做。如果你不需要你的管理員在公司外部的網路進行進行任何管理操作的話,你可以限制管理員操作的介面只要特定的 IP 地址才能訪問管理員介面中的的配置資訊。請參考頁面 Using Apache to limit access to the Confluence administration interface 中的內容進行配置。
- 當員工進行離職的時候,你需要建立公司員工的離職策略,並形成文字。
- 按時進行安全審查。瞭解當系統被攻擊的時候,誰可以幫助你解決問題。進行 ‘如果這樣了’ 我們應該進行如何操作的議題。(當用戶在外出度假的時候密碼被偷竊了,我們最糟糕的情況將會面臨什麼?我們將如何減少損失?)。
- 請確定你的 Confluence 資料庫使用者(和所有資料來源的使用者)具有隻他們需要的許可權,不要大範圍賦權。
- 監控你的檔案系統中的檔案。如果一個攻擊者希望獲得你係統中的使用者資訊,他們通常會嘗試獲得多個賬號的訪問許可權。有時候這個通過新增惡意程式碼來實現的,比如通過修改你檔案系統中的檔案。對你作業系統上的檔案,可以考慮執行常規的校驗來確定沒有惡意程式碼被新增到你文靜系統中。
其他需要小心考慮的地方:
- 按時對上面描述的內容進行監控。很多事情在開始的時候可能沒有問題,但是隨著時間的進展,可能會導致問題惡化:
- 一個系統在開始的時候確實只有 3 個系統管理員,但是隨著時間的推移和變化同時也沒有人對系統管理員數量進行控制的話,一年後可能系統中有 30 個管理員了。
- Apache 的管理員的限制可能在系統開始的時候是正確安裝限制的,但是隨著系統進行了多次升級後,我們可能忘了更新 Apache 的安全訪問策略了。
再次說明的是,上面的所有安全配置可能不是所有你需要設定的安全資訊和功能,安全設定與你係統安全的需求還是有很大關係的。同時,請注意沒有人能夠在安全上能夠進行完全的保證。我們只能讓攻擊變得更加困難,我們好有足夠的時間修復我們發現的問題。
相關推薦
配置 Confluence 6 安全的最佳實踐
讓一個系統能夠變得更加堅固的最好辦法是將系統獨立出來。請參考你公司的安全管理策略和相關人員來找到你公司應該採用何種安全策略。這裡有很多事情需要我們考慮,例如考慮如何安裝我們的作業系統,應用伺服器,資料庫伺服器,網路,防火牆,路由等。 這裡我們有可能對這些配置進行一些基本的描述。 這個頁面中的安全配置是
TensorFlow學習筆記(6) TensorFlow最佳實踐樣例程式
在第三篇中編寫了一個程式來解決MNIST問題,這是一個沒有持久化訓練好的模型。當程式退出時,訓練好的模型就再也無法使用了,這導致得到的模型無法被重用。結合變數管理機制及模型持久化機制,對該程式進行進一步的優化重構。 優化重構之後的程式分為三個:第一個是mnist_inference.py,定義前
Kubernetes(k8s)部署安全最佳實踐_Kubernetes中文社群
編者按:本文作者是來自 Aqua Security 的 Amir Jerbi 和 Michael Cherny,他們以大量的案例和經驗為基礎,總結並描述了 Kubernetes 部署中的最佳安全實踐。 Kubernetes 提供了很多能夠提高應用安全的方法。要進行這些配置,就要掌握 Kuber
Confluence 6 安全概述和建議概述
這個文件是針對 Confluence 的系統管理員希望對 Confluence Web應用程式安全性進行評估而設計的。這個頁面將對系統的安全進行大致的描述,同時也會對 Confluence 的安全配置提供建議。作為一個向公眾開放的 Web 應用程式,Confluence 的應用程式級別的安全是非常重要的。這個
9項你不得不知道的Kubernetes安全最佳實踐
放棄 帳戶 建立 安全相關 命名 創建 高版本 元數據 osc 上個月,全球最受歡迎的容器編排引擎Kubernetes,被爆出首個嚴重的安全漏洞,使得整個Kubernetes生態發生震蕩。該漏洞(CVE-2018-1002105)使***者能夠通過Kubernetes AP
Docker 架構介紹:docker安全最佳實踐
簡介 docker 賴以生存的“Secure by Default”,docker EE 預設的配置和策略提供基礎雄厚的安全環境,因此,他們可以非常容易的修改來適應不同組織的特殊需求。 docker 把重點放到了容器安全的三個關鍵領域:安全訪問、安全內容、安
Kubernetes日誌的6個最佳實踐
本文轉自[Rancher Labs](https://mp.weixin.qq.com/s/OCNj_21mH6JpBEywVmDf1Q "Rancher Labs") Kubernetes可以幫助管理部署在Pod中的上百個容器的生命週期。它是高度分散式的並且各個部分是動態的。一個已經實現的Kubernet
Confluence 6 用戶宏最佳實踐
Confluence這個頁面為你在創建用戶宏的最佳實踐中包含了一些小技巧和建議。 為你的宏添加一個簡短的描述我們鼓勵你為你的宏在 模板(Template )添加一個備註的描述,可以參考下面的顯示的內容:## Macro title: My macro name ## Macro has a body: Y o
Confluence 6 配置管理員會話安全的備註
developer embed alt 分享 evel pan -c 信息 cat 禁用密碼確定。 Confluence 安裝使用自定義授權機制有可能會在密碼校驗的時候遇到問題。如果必要的話,你可以設置 password.confirmation.disabled 系統屬性
Confluence 6 配置管理員會話的安全
-s odi play 空間 技術 width out 安全管理 系統管 Confluence 通過使用 Confluence administration console 來顯示管理員訪問後臺管理的功能或者管理一個空間。當一個 Confluence 管理員(以管理員身份登
Confluence 6 使用者巨集最佳實踐
這個頁面為你在建立使用者巨集的最佳實踐中包含了一些小技巧和建議。 為你的巨集新增一個簡短的描述 我們鼓勵你為你的巨集在 模板(Template )新增一個備註的描述,可以參考下面的顯示的內容: ## Macro title: My macro name ## Macro has a body
maven+SSM+shiro+junit+jetty+log4j環境配置的最佳實踐
一次 bject catch mapping getbean tco 客戶 包名 目錄 思路大致是 jetty插件 -> junit -> SpringMVC -> Spring -> Mybatis整合 -> shiro整合 -> lo
《開源安全運維平臺--OSSIM最佳實踐》新書五折搶購(限時2天)
1-1 height lis ima pro ros nor none 分享圖片 《開源安全運維平臺--OSSIM最佳實踐》新書五折搶購,售完為止(該活動限時2天)當當自營店購買地址:http://product.dangdang.com/23903741.html LIN
Confluence 6 中進行用戶管理的優化配置和限制的基本建議
Confluence避免跨目錄的多個用戶名:如果你連接了超過一個的目錄服務器,我們建議你需要確定你的用戶名在目錄服務器中是唯一的。例如:我們不建議你定義一個用戶同時在'Directory1' 和 'Directory2' 中都定義 jsmith 這個用戶。這樣要求的原因是避免在
基於 Confluence 6 數據中心在你的 Atlassian 應用中配置 SAML 授權
基本配置 sin content value 二級 png ice 發出 exist 希望在 Confluence 中配置SAML: Go to > 基本配置(General Configuration) > SAMl 授權(SAML Authen
Confluence 6 配置默認語言界面
splay con sse ali sin conf content OS isp Confluence 6 配置默認語言使用的界面。 https://www.cwiki.us/display/CONFLUENCEWIKI/Choosing+a+Defau
Confluence 6 配置管理員聯系頁面
鏈接 解釋 str nis contact conf 管理員 ini 配置 管理員聯系頁面是一個格式化的頁面,這個頁面能夠允許 Confluence 用戶在 Confluence 中向管理員發送消息(在這部分的內容,管理員是默認管理員用戶組的成員)。 有關用戶組的
Confluence 6 管理員聯系表單的後臺配置界面
enc TP tps -i jpg 分享圖片 fig ont ima 管理員聯系表單的後臺配置界面截圖和配置。 對輸入的數據進行編輯和選擇是否啟用發送電子郵件給管理員 https://www.cwiki.us/display/CONFLUENCEWI
Confluence 6 配置避免管理員聯系表單垃圾
Confluence你可以配置 Confluence 使用驗證碼(Captcha)來避免垃圾內容發送給 Confluence 管理員。有關管理員聯系表單驗證碼的內容在全站驗證碼設置中進行配置,相關的文檔請參考 Configuring Captcha for Spam Prevention 頁面中的內容。 ht
Confluence 6 配置站點主頁面
Confluence 主面板(dashboard)是你站點的默認主頁,但是你也可以選擇使用一個空間的主頁為網站訪問的首頁面。針對你的 Confluence 站點主要是為用戶進行閱讀而不是創建內容的話,這樣的配置就顯得非常有效了。如果你希望鼓勵用戶參與創建內容的話,那麽為這些用戶提供最好的工具能夠讓他們隨時恢復