...
强制启用导出规则控制数据导出,在系统选项-安全设置中配置
资源权限加固
【建议加固】限制config/chooser.jsp文件访问路径
在 运维设置>常用功能>系统选项>高级设置 中,设置JSP_CHOOSER_ROOT_PATH设置项可限制config/chooser.jsp页面文件访问路径,值为限制用户可选的最大可选择根目录。
Windows环境部署smartbi应用,注意路径斜杠的区别:
Linux环境部署smartbi应用,注意路径的反斜杠的区别:
注意: 展示的“文件位置”以高级系统选项中配置的目录为准,不允许用户选择超出的目录,或者弹出提示超出配置的目录的范围
操作权限加固
【必须加固】敏感功能的权限控制
...
进入到实际应用服务器环境的bin目录找到 smartbi.properties 文件,以tomcat服务器为例子,如下图:
在文件中新增如下配置项目
配置方式如下:
设置config.jsp可以使用英文逗号分隔设置多个IP属性,例如smartbi.allowedConfigIps=10.10.23.11,10.10.201.1-10.10.201.254,10.10.202.0/24
设置monitor可以使用英文逗号分隔设置多个IP属性,例如smartbi.allowedMonitorIps=10.10.23.11,10.10.201.1-10.10.201.254,10.10.202.0/24
设置defender.jsp可以使用英文逗号分隔设置多个IP属性,例如smartbi.allowedDefenderConfigIps=10.10.23.11,10.10.201.1-10.10.201.254,10.10.202.0/24
...
类别 | 方法 | 示例 |
允许所有IP | *号代表全部IP。 注:这里不支持10.10.202.* | smartbi.allowedConfigIps=* |
精确指定某个ip | 直接设置对应的ip地址即可。 | smartbi.allowedConfigIps=10.10.101.11 |
指定多个ip地址 | 各个ip地址以英文逗号分隔。 | smartbi.allowedConfigIps=10.10.101.11,10.10.101.21, 10.10.101.31 |
指定某个ip段地址 | 指定ip段地址区间,中间用减号(-)连接。 | smartbi.allowedConfigIps=10.10.101.0-10.10.101.255 |
指定ip支持标准的掩码 | 使用 标准CIDR 格式。计算方法可参考:计算方法 | smartbi.allowedConfigIps=10.10.23.0/24 |
验证是否配置成功
使用非开放ip的电脑访问config界面,提示没有权限,联系管理员则表示配置成功,反之则不成功。
下图表示是配置成功的提示内容
如果使用未配置IP访问,则显示如下截图:
详细说明可查看当前Wiki文档的【说明事项】章节:
...
登录config.jsp页面内的知识库的【密码】项要勾选【加密保存】
【必须加固】限制前端获取系统选项中的敏感信息
...
对于系统安全来说,用户登录密码强度是一个系统安全检测点,如何提高用户密码的安全性,比如说进行口令复杂度校验以及定期更新密码:
1)密码位数要求8位以上(含8位);
2)密码需有一定的复杂度(有字母、数字的混合);
3)设置密码有效期;
可以通过【运维设置】>【常用功能】>【系统选项】>【用户管理】–>用户密码复杂度设置(正则表达式)以及密码有效周期(天)
正则表达式:^(?![^a-zA-Z]+$)(?!\D+$)[a-zA-Z0-9]{8,}$
PS:密码有效期周期(天):用于限制用户密码的有效时间,到使用期限前3天,消息中心中会提示用户联系管理员、修改密码。
效果验证:
当用户设置密码的时候,就会校验密码复杂度。对于之前已设置密码的,需要单独进行修改,登录界面不会进行密码复杂度设置校验。
更多详情请查看:https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=76679302
...
2、进行黑名单限制,需要对外网流量入口进行识别,比如说可以通过代理将互联网流量转发到smartbi,这时候设置的就是代理的IP或者请求头标识。设置方式参考 wikihttps://wiki.smartbi.com.cn/pages/viewpage.action?smt_poid=43&pageId=119277439
3、设置启用安全卫士。
默认放行请求勾选浏览类别,只允许浏览类的操作;
默认限制请求勾选【高危类别】,拦截执行计划任务、java 查询等高危动作的请求;请务必勾选此选项。
还可以根据实际需要,自定义添加白名单/黑名单请求;
更多详情请查看:内外网隔离最小化
...
进入到nginx目录下的conf/nginx.conf文件中的server location 修改如下配置
| 代码块 | ||||||
|---|---|---|---|---|---|---|
| ||||||
http {
#指定每一个 TCP 链接最多能够保持多长时间
keepalive_timeout 60;
server {
#服务端向客户端传输数据的超时时间
send_timeout 60s;
#请求头分配一个缓冲区
client_body_buffer_size 16k;
#指定客户端与服务端建立连接后发送 request body 的超时时间
client_body_timeout 50s;
#客户端向服务端发送一个完整的 request header 的超时时间
client_header_timeout 10s;
location / {
}
}
} |
...
1、进入tomcat的配置目录下(%tomcatHome%\conf)修改server.xml文件中的Host的name属性为指定ip或域名。
...
nginx配置方式:
进入到nginx目录下的conf/nginx.conf文件中的server server_name 指定ip或域名。
注意:下面的1、2配置只选其一即可,不用两个都配置
...
这里的ip要根据需要进行替换 192.168.137.1 10.11.27.46 、 192.168.137.1|10.11.27.46
...
SSL弱密码支持
通过配置中间件或代理来排除不安全的加密方式。
...
| 代码块 | ||||
|---|---|---|---|---|
| ||||
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE; |
...
Tomcat暴露异常堆栈信息
通过tomcat配置,隐藏版本号与相关堆栈信息。
...
| 代码块 | ||||
|---|---|---|---|---|
| ||||
<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" /> |
...
启用了没必要的 http 请求类型
通过配置中间件或代理来禁用相关http方法。
...
| 代码块 | ||
|---|---|---|
| ||
if ($request_method ~ ^(PUT|DELETE|OPTIONS|HEAD)$) {
return 403;
} |
...
【必须加固】IP地址伪造
两种方式只能二选一,不能同时配置!!!
...
| 代码块 | ||
|---|---|---|
| ||
proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $remote_addr; |
...
注意
$proxy_add_x_forwarded_for会将和Nginx直接连接的客户端IP追加在请求原有X-Forwarded-For值的右边。所以依然可以伪造 IP。检查 nginx 是否有proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;这个配置项,如果有要删除。
...
# 是否开启防止IP伪造,如果有前置代理的情况下不能开启。
HAS_ENABLED_IP_PORGERY=true
【建议加固】删除tomcat/webapps目录下的多余应用
Tomcat自带很多应用,非项目需要情况下,建议可考虑移除相关文件夹,避免因这类多余应用造成安全问题。
其他组件
其他组件比如 mysql、redis、smartbimpp、跨库、proxy 的推荐配置。
http://10.10.109.93:8090/pages/viewpage.action?smt_poid=43&pageId=146441245
