Рекомендации по безопасности
Тип статьи | Полезное знание |
---|---|
Компетенции | Администратор |
Версия платформы | 2.25 |
Статус | бета |
Сложность | средне |
Полезные ссылки |
|
Дополнительные сведения |
|
В целях повышения безопасности рекомендуется учесть пункты ниже. Некоторые из их критичны и обязательны, например, смена дефолтных паролей и сертификата. Актуально в первую очередь для стендов с доступом из сети Интернет.
Извне для работы в платформе должны быт открыты только порты 80/443, http/https. Если на сервере открыто что-то еще, то имеет смысл убедиться у ответственных коллег, что это действительно нужно, а не осталось забытым со времен какой-то наладки.
Конечно, использовать HTTPS.
Не задавать учеткам простые короткие пароли. Использовать LDAP/OpenID.
Обязательно убедиться, что все пароли дефолтных и системных учеток в платформе были изменены на надежные. Речь об Admin, Editor и описанных тут https://visiology.atlassian.net/wiki/spaces/v25/pages/37536582326
При необходимости доступа с рабочих мест к базам PostgreSQL и MongoDB внутри компонентов платформы использовать только SSH тоннель. Описано тут: https://visiology.atlassian.net/wiki/spaces/v25/pages/37536586405
Имеет смысл разрешить только определенные IP адреса-источники для SSH. А лучше вообще только находясь в корпоративной сети.Стараться использовать последнюю актуальную версию платформы, которая включает множество актуальных обновлений, критичных для безопасности. Один из примеров – декабрьская история с Log4J (включено в 2.25).
Обязательно заменить сертификат Identity Server: https://visiology.atlassian.net/wiki/spaces/v25/pages/37536580918