主页 / server / 问题 / 107338
Accepted
dasko
Asked: 2010-01-29 12:23:19 +0800 CST

共享或允许访问 trac 和 svn 以确保互联网用户安全的最佳实践?

  • 772

什么是共享或允许与公司无关的互联网用户访问 trac 和 svn 的最佳实践?

它应该在 DMZ 上,应该在内部使用某种形式的 SSH 连接还是使用 https?

如果您要这样做并且对安全性感到偏执,那么假设 WAN 上的基本防火墙应该是最佳实践列表,服务器是否应该像外围区域一样在网络上独立运行(也远离内部用户,双重防火墙) .

提前致谢。

svn wide-area-network security trac

4 个回答

  1. Best Answer

    假设你确实是偏执狂[又名矫枉过正的场景]:

    1. 在防火墙子网中放置一个反向代理[例如使用apache2],使其只能通过https访问,只能从需要访问它的外部用户的选定IP地址访问[这可以保护您免受对apache / svn / trac中可能漏洞的盲目攻击] . 仅将对有效 url [ 例如 /svn 和 /trac ] 的请求转发到位于单独子网中的实际服务器。确保此代理只能访问您的实际服务器,仅在端口 80/tcp 上。没有其他的。
    2. 将您的实际 svn / trac 服务器放在单独的子网中,并具有受控访问权限:允许来自公司内部和代理的传入 http 连接。禁止传出连接。

    如果限制对#1的访问以明确列出IP范围不是一种选择-再次考虑某种形式的网守-以避免盲目攻击。

    在代理级别 - 考虑使用:

    • modsecurity以避免例如对 trac 的 sql 注入/xss 攻击,
    • fail2ban使对 svn / trac 的身份验证机制的字典攻击更加困难。
    • 2

  2. 取决于你的预算是多少。

    尝试在前面使用防火墙,仅允许 https 访问,并在 apache 方面使用两种方式的 ssl。

    • 0

  3. 如果我这样做,我会将 trac 放在主要公司防火墙外的一个盒子上,但在其上放置防火墙规则以阻止对 ssh(对我而言)和 http(对其他人)以外的任何内容的访问。

    另一种选择可能是问自己:我们应该主持这个吗?它在 sourceforge 或 savannah.{non}gnu.org 或 github 上会更好吗?

    • 0

  4. 仅具有 https 访问权限的标准服务器是非常安全的解决方案,开放端口数量有限等。

    偏执配置可能是公司外部用户的 VPN(例如openvpn)访问。Trac 和 svn 只能从您的专用网络和 VPN 访问。用户对 VPN 的访问将受到您颁发的证书的保护。当然,VPN 无法访问其他服务器和内部网络。

    当然,这种解决方案只有在公司外部人员相当稳定且不太大的情况下才有可能。如果这些用户和特定人员的数量发生变化,那么第一个具有 https 访问权限和良好设置防火墙的灵魂将是唯一的集会(并且被很多人和公司使用)。

    • 0

相关问题