请选择 进入手机版 | 继续访问电脑版

ITIL,DevOps,ITSS,ITSM,IT运维管理-ITIL先锋论坛

 找回密码
 微信、QQ、手机号一键注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

查看: 273|回复: 0

[功能实施] 系统管理-优化进阶- 安全加固

[复制链接]
发表于 2020-12-5 17:07:14 | 显示全部楼层 |阅读模式
本帖最后由 adminlily 于 2020-12-5 17:10 编辑

安全加固
iTop基于PHP,其内容由web-服务器提供。

此页面引用PHP和web-服务器配置将增强iTop安装的安全。

使用https
您应该仅使用https协议来提供页面。

如Wikipedia所述:它可以防止中间人攻击。客户和服务器之间的双向通信加密可防止窃听和篡改通信。

防止会话被盗
尽管从安全角度来看,PHP默认配置非常相关,但它可能是增强:对于这些条目,您应该变更为默认价值:


session.cookie_httponly

为了防止恶意javascript代码嗅探用户的会话,您应该启用session.cookie_httponly(请参阅PHP文档)

您可以在使用session.cookie_httponly = 1的php.ini中执行此操作,也可以在php_flag session.cookie_httponly启用的apache中执行此操作。

session.cookie_secure
如果使用https,则应启用此指令,以便仅通过安全连接发送cookie,请参阅PHP文档.

其他http标头
尽管不像以前的配置那样重要,但是您可以在Web服务器中配置这些http标头,以便添加安全的额外层。由于此页面尽量保持简单,因此此处提到的标题通常可以进行微调以使其更具限制性。

以下示例适用于apache,并且需要mod标头,但所有主流网络服务器均提供了一种配置方法。

严格网络安全


Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;" env=HTTPS

这告诉浏览器应仅使用HTTPS而不是HTTP对其进行访问。更多信息

X框架选项


Header always set X-Frame-Options "sameorigin"

这指示是否应允许浏览器在<frame>,<iframe>,<embed>或<对象>中呈现页面。MDN文档.


X内容类型选项



Header always set X-Content-Type-Options "nosniff"

这允许选择不进行MIME类型嗅探(不应更改Content-Type标头中宣传的MIME类型),MDN文档.

内容-安全-策略
这有助于检测和缓解跨站点脚本(XSS)和数据注入攻击。

当心:此标头将阻止任何未经授权的领域,这使正确配置更加困难。 MDN上有一篇很棒的文章:内容安全策略(CSP),您应该参考它以执行正确的配置。

基本的配置可能是

Header set Content-Security-Policy "default-src 'self' www.itophub.io;script-src 'self' www.itophub.io 'unsafe-inline' 'unsafe-eval' blob:; style-src 'self' 'unsafe-inline';img-src  'self' data: blob: www.itophub.io "

但是,例如,如果您使用Recaptcha或其他代码,则还必须允许“ www.google.com”和“ www.gstatic.com”:

Header set Content-Security-Policy "default-src 'self' www.itophub.io;script-src 'self' www.google.com www.gstatic.com www.itophub.io 'unsafe-inline' 'unsafe-eval' blob:; style-src 'self' 'unsafe-inline';img-src  'self' data: blob: www.itophub.io "
关于维护正确的配置的困难,我们在下面的示例中不包含此标头,但是如果您对额外的维护感到满意,则可以添加它。

完整的例子


1.png




上一篇:系统管理-优化进阶- 性能调优
下一篇:系统管理-优化进阶- 个人信息保护

本版积分规则

参加 ITIL 4 基础和中级专家认证、v3专家升级、DevOps专家认证、ITSS服务经理认证报名
本站关键字: ITIL| ITSM| ISO20000| ITIL培训| ITIL认证| ITIL考试| ITSS| ITSS培训| ITSS认证| IT运维管理| DevOps| DevOps培训| DevOps认证| itop| itil4| sre| 开源ITSM软件

QQ|小黑屋|手机版|Archiver|艾拓先锋网 ( 粤ICP备11099876号-1 )|网站地图

Baidu

GMT+8, 2021-4-14 09:35 , Processed in 0.159941 second(s), 33 queries .

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表