配置 Confluence 6 安全的最佳实践

让一个系统能够变得更加坚固的最好办法是将系统独立出来。请参考你公司的安全管理策略和相关人员来找到你公司应该采用何种安全策略。这里有很多事情需要我们考虑,例如考虑如何安装我们的操作系统,应用服务器,数据库服务器,网络,防火墙,路由等。

这里我们有可能对这些配置进行一些基本的描述。

这个页面中的安全配置是基于我们已知情况下的最好配置了。

配置 Web 服务器

请参考有关系统管理员中的下面有关的信息:

配置应用服务器

请参考下面有关应用服务器级别的系统管理员指南:

配置应用

有关如何你在 Confluence 设置角色,权限和过程的方法将会对 Confluence 产生很大的影响,不同的设置导致的安全结果也是不同的。

下面是有关一些 Confluence 特定的内容需要考虑的。没有任何安全设置都能够保证 100% 的安全的。这些安全策略被用来降低安全攻击对你系统产生的影响而让你系统能够更好的持续运行。

  • 保持 Confluence 中只有少数用户具有管理员权限。基本上来说越少越好。例如,最多不要超过 3 个系统管理员。
  • 同样的,限制具有较高权限的和用户组中的用户数量。如果只有一个部分应该访问敏感数据的话,那么限制这个敏感部门的用户数量。不要为了方便而不为这些用户设置特定的安全策略。不要给不需要访问敏感数据的用户的访问权限。
  • 管理用户应该针对他们的管理员级别不同设置有不同的 Confluence 账号,这个账号应该与这些用户每天都使用的账号区分开来。如果John Doe 是一个系统管理员的话,他应该有一根常规的用户账号,这个账号不应该具有管理员权限来让他进行每天的工作(例如在 WIKI 写页面等)。这个账号可能被设置为 ‘john.doe‘ account。同时,这个用户应该还有一个完全不同的账号(这个账号应该不容易被外界随便猜测出来,甚至都不应该使用他规则的名字)来进行管理员相关的操作。这个账号可能为‘jane smith‘ – 使用这个名字为一个假的名字,外界甚至没有办法猜测这个名字。这种设置的好处是,如果攻击者获得了 John Doe 的所有信息,包括 John Doe 的密码(可能是从 John Doe 的个人账号中偷出来的),但是攻击者没有办法确定管理员用户的用户名,因此攻击者也还是不能登录管理员系统进系统相关的操作。
  • 限制管理员操作只有你才可以做。如果你不需要你的管理员在公司外部的网络进行进行任何管理操作的话,你可以限制管理员操作的界面只要特定的 IP 地址才能访问管理员界面中的的配置信息。请参考页面 Using Apache to limit access to the Confluence administration interface 中的内容进行配置。
  • 当员工进行离职的时候,你需要创建公司员工的离职策略,并形成文字。
  • 按时进行安全审查。了解当系统被攻击的时候,谁可以帮助你解决问题。进行 ‘如果这样了’ 我们应该进行如何操作的议题。(当用户在外出度假的时候密码被偷窃了,我们最糟糕的情况将会面临什么?我们将如何减少损失?)。
  • 请确定你的 Confluence 数据库用户(和所有数据源的用户)具有只他们需要的权限,不要大范围赋权。
  • 监控你的文件系统中的文件。如果一个攻击者希望获得你系统中的用户信息,他们通常会尝试获得多个账号的访问权限。有时候这个通过添加恶意代码来实现的,比如通过修改你文件系统中的文件。对你操作系统上的文件,可以考虑运行常规的校验来确定没有恶意代码被添加到你文静系统中。

其他需要小心考虑的地方:

  • 按时对上面描述的内容进行监控。很多事情在开始的时候可能没有问题,但是随着时间的进展,可能会导致问题恶化:

    • 一个系统在开始的时候确实只有 3 个系统管理员,但是随着时间的推移和变化同时也没有人对系统管理员数量进行控制的话,一年后可能系统中有 30 个管理员了。
    • Apache 的管理员的限制可能在系统开始的时候是正确安装限制的,但是随着系统进行了多次升级后,我们可能忘了更新 Apache 的安全访问策略了。

再次说明的是,上面的所有安全配置可能不是所有你需要设置的安全信息和功能,安全设置与你系统安全的需求还是有很大关系的。同时,请注意没有人能够在安全上能够进行完全的保证。我们只能让攻击变得更加困难,我们好有足够的时间修复我们发现的问题。

https://www.cwiki.us/display/CONF6ZH/Best+Practices+for+Configuring+Confluence+Security

原文地址:https://www.cnblogs.com/huyuchengus/p/9484576.html

时间: 2024-11-08 04:42:00

配置 Confluence 6 安全的最佳实践的相关文章

Confluence 6 用户宏最佳实践

这个页面为你在创建用户宏的最佳实践中包含了一些小技巧和建议. 为你的宏添加一个简短的描述 我们鼓励你为你的宏在 模板(Template )添加一个备注的描述,可以参考下面的显示的内容: ## Macro title: My macro name ## Macro has a body: Y or N ## Body processing: Selected body processing option ## Output: Selected output option ## ## Develop

Confluence 6 数据中心的 SAML 单点登录最佳实践和故障排除

最佳实践 SAML 授权仅仅在有限的时间进行校验.你需要确定运行你的应用的计算机时间与 IdP 的时间是同步的. 如果你应用中的用户和用户组是通过用户目录进行配置的,你通常希望用户来源目录和你的 IdP 和 Atlassian 应用使用相同的 LDAP 目录.用户需要在用户目录支中存在才可以使用 SSO 进行登录. 故障排除 如果你错误的配置了 SAML 收取,或者不能登录到你的 IdP.你可以通过删除请求来让你的登录授权恢复(在你用户目录中为一个管理员用户配置使用一个用户名和密码). curl

atitit.手动配置列表文件的选择and 数据的层次结构 attilax总结最佳实践--yaml

atitit.手动配置列表文件的选择and 数据的层次结构 attilax总结最佳实践--yaml 1. yaml是个好的选择.. 1 2. 数据的层次结构--结构:hash,list,和block literal. 1 3. yaml跟json的实现区别 1 4. xml的优点及json的问题 2 4.1. ide友好 2 4.2. JSON也适合与任何数据,复杂struts难以阅读 2 4.3. json难以手工维护 3 5. 基于YAML的开源项目解析YAML文件最常用的Java库是JvY

atitit.spring3 mvc url配置最佳实践

atitit.spring3 mvc url配置最佳实践 1. Url-pattern  bp 1 2. 通用星号url pattern的问题 1 3. Other code 1 4. 参考 2 1. Url-pattern  bp Default       <url-pattern>/</url-pattern> <url-pattern>/*</url-pattern> 中间容易的冲突....spr十为了restful风格,,才默认中配置的.. 跟个d

Zabbix最佳实践一:Zabbix Server 的安装与配置

一.概述 在开始之前,一些概念和定义需要我们提前了解一下(以下内容摘自官方网站). 1.1 几个概念 架构 Zabbix 由几个主要的功能组件组成,其职责如下所示. Server Zabbix server 是Zabbix agent 向其报告可用性.系统完整性信息和统计信息的核心组件.是存储所有配置信息.统计信息和操作信息的核心存储库. Zabbix Server 负责执行数据的主动轮询和被动获取,计算触发器条件,向用户发送通知.它是 Zabbix Agent 和 Proxy 报告系统可用性和

生产环境容器落地最佳实践 - JFrog 内部K8s落地旅程

引言 Kubernetes已经成为市场上事实上领先的编配工具,不仅对技术公司如此,对所有公司都是如此,因为它允许您快速且可预测地部署应用程序.动态地伸缩应用程序.无缝地推出新特性,同时有效地利用硬件资源. 本期我们将回顾采用Kubernetes作为容器编排工具的公司所面临的复杂性和挑战.我们希望我们提供的经验教训.最佳实践和技巧将帮助您在前往K8s旅途中起步并继续前进. 本期将介绍关于在Kubernetes生产环境的最佳实践,包括:: 为上K8s容器云准备好应用程序 在Kubernetes中获得

基础入门_Python-模块和包.运维开发中watchdog事件监视的最佳实践?

简单介绍: 说明:  此模块是一个跨平台的PY库和SHELL工具,可以监视文件系统事件(增加/删除/修改) 快速安装: pip install --upgrade watchdog 日志记录: event_handler = LoggingEventHandler() -> event_handler 说明: 创建一个日志处理句柄,其实LoggingEventHandler是继承自FileSystemEventHandler类,只是重写了增删查改的回调函数,直接调用logging模块写到对应lo

毫秒必争,前端网页性能最佳实践

你愿意为打开一个网页等待多长时间?我一秒也不愿意等.但是事实上大多数网站在响应速度方面都让人失望.现在越来越多的人开始建立自己的网站,博客,你的网页响应速度如何呢?在这篇文章中我们来介绍一下提高网页性能的最佳实践,以及相应的问题解决方案,让站长或者即将要成为站长的朋友了解如何去测试和提高网站响应速度,对自己的网站更有信心. 最佳实践 最佳实践我们引用的来自yahoo前端性能团队总结的35条黄金定律.原文猛击这里.下面我们分门别类将每条的关键点总结一下. 网页内容 减少http请求次数 减少DNS

关于防止语音网关被盗用的最佳实践

问题描述尽管事实情况是没有任何内部用户拨打过国际或省际长途电话,但用户的电信账单依然出现了难以置信的高额费用.记录显示,用户曾经频繁.长时间联系国际和省际的长途用户,从而产生了非常高的长途费用.本文介绍如何发现并防止语音网关被盗用的实例.最佳实践1. 防止来自IP网络的盗用如果用户的语音网关有Internet/Intranet可达的IP地址,但没有配置足够的安全特性,任何voip的终端都有可能跳过管理员的耳目,实现越权拨打电话.针对此类风险,我们建议的最佳实践如下:在网关上增加访问列表,除了允许