This is automatic translation. If you do not like it, switch to English or another language. Thank you for understanding. OK Show original
Contenuti

Secure Redmine Server - Suggerimenti per la sicurezza per l'applicazione Web

Forniamo alcuni consigli (inclusi suggerimenti forti) su come mantenere (Facile) Redmine sicuro e resistente. Alcuni suggerimenti possono sembrare ovvi, tuttavia, una buona lista di controllo dovrebbe contenere tutto.

La sicurezza dei dati conta sempre per tutti i tipi di organizzazioni e software. Per molto tempo, la sicurezza dei dati è anche uno dei argomenti di business più discussi. Più tecnologia avanzata utilizziamo, maggiore è il livello di dati e protezione dell'applicazione è generalmente previsto e necessario. Quindi perché sottovalutare i rischi se esiste una soluzione facile per il tuo Redmine? Proteggi la tua azienda con Easy Redmine oggi. Ecco come.

Inizia la prova gratuita
e proteggi il tuo Redmine oggi

1. Usa la connessione HTTPS

  • Crea un certificato autofirmato o acquistane uno affidabile. È possibile trovare istruzioni su come creare un certificato autofirmato qui.
  • Configurare il server Web per mantenere correttamente una connessione protetta. Limitare completamente le richieste dalle porte 80 o 8080 o impostarne il corretto instradamento verso una porta sicura. Istruzioni dettagliate per la configurazione sicura di Nginx sono disponibili direttamente nel pacchetto di installazione di Easy Redmine in doc / INSTALL.
  • Nelle impostazioni (Facile) di Redmine (Amministrazione >> Impostazioni), imposta il tipo di protocollo corretto (HTTPS). È un punto molto importante ma spesso mancato. Ricorda che non tutti i plug-in Redmine utilizzano percorsi corretti dal sistema. Alcuni di essi cercano solo questa impostazione specifica per definire quale protocollo deve essere utilizzato. Non è corretto, ma succede. Quindi è meglio essere sicuri che il protocollo sarà sempre HTTPS.
  • Per verificare la qualità della configurazione SSL, è possibile utilizzare strumenti come questo.
  • Se sono presenti immagini o altri dati acquisiti da altri siti (ad esempio loghi, fonti di immagini), assicurarsi che utilizzino anche il protocollo HTTPS. Altrimenti, teoricamente può causare un'oscura violazione del sistema. Puoi facilmente verificare se tutto è a posto con il tuo sito o meno. Se ci sono fonti da HTTP, il tuo browser evidenzierà il tuo protocollo con il colore rosso e talvolta può essere barrato. Ma nel complesso, questo ultimo punto riguarda principalmente l'educazione e la disciplina dei tuoi utenti. Alcune cose non possono essere forzate.

2. Controlla e dividi le autorizzazioni

  • Assicurarsi che l'applicazione non sia in esecuzione dalla radice (almeno cartelle pubbliche, tmp, file, registro). Raccomandiamo vivamente che l'intera applicazione + ruby ​​sia installata da un utente specifico.
  • Assicurati di non avere autorizzazioni come 777 per nessuna cartella dell'applicazione. Le autorizzazioni ottimali sono 755 o per alcuni file 644.

3. Tenere chiuse le porte non utilizzate

  • Chiedi agli amministratori di sistema o ai provider di hosting di chiudere tutte le porte non utilizzate. Aprili solo nel caso in cui sia necessario aggiornare il sistema, il rubino o l'applicazione.

4. Usa password complesse

  • Assicurarsi di non utilizzare la stessa password per l'utente del server principale, l'utente del database principale, l'utente del server delle applicazioni, l'utente dell'applicazione del database e l'amministratore o qualsiasi altro utente all'interno dell'applicazione.
  • Tutte le password dovrebbero essere diverse, abbastanza lunghe - almeno simboli 15, contenenti lettere, numeri e simboli speciali ... o semplicemente solo a lungo. Non cadere in uno stato di letargia e assicurati di cambiare le password almeno all'interno dell'applicazione almeno ogni 6 mesi.
  • Ulteriori informazioni su password e autenticazione in Easy Redmine sono presentate nel nostro passato Webinar sul GDPR (sotto) e il Knowledge Base.

5. Aggiorna il tuo server e l'applicazione regolarmente

  • È molto importante tenere tutto aggiornato. Il mondo sta cambiando ogni giorno. Il mondo IT sta cambiando ancora più rapidamente.
  • Ogni giorno vengono scoperti nuovi punti deboli e vengono creati nuovi protocolli di sicurezza. Se usi applicazioni obsolete, aumenti il ​​rischio di attacchi o truffe attraverso il tuo server. Quando è stata l'ultima volta che hai aggiornato RubyGems?

6. Fai attenzione ai file caricati

  • Ti consigliamo di definire le estensioni dei file che possono essere caricate sul tuo server. Puoi farlo sia dal tuo server web, sia dall'interno (facile) Redmine (Amministrazione >> Impostazioni >> File). Come limitare o consentire estensioni di file specifiche in Nginx potresti trovare qui. Se si hanno le impostazioni su entrambi contemporaneamente, il server Web vince.
  • Un'altra opzione è quella di distribuire un antivirus per controllare tutti i file caricati sul server. Un'opzione gratuita è ClamAV.

Non è tutto...

Questi suggerimenti sono il minimo che consente a un amministratore Redmine di dormire in modo pacifico: l'applicazione è sicura. Ma, naturalmente, puoi aggiungere più livelli di protezione se necessario (proxy, proxy inverso, VPN, filtro IP, ecc.).

Siamo in grado di assumersi la responsabilità per l'intera sicurezza del server e implementare a numero di ulteriori misure di sicurezza per te su Redmine la nube privata. Se hai qualche domanda, Questo indirizzo e-mail è protetto dallo spam bot. Abilita Javascript per vederlo.. Crea il tuo Redmine adeguatamente protetto grazie a Easy Redmine.

Autore: Lukáš Beňa, Robert Kováčik

Informazioni aggiuntive
Prova gratuita

Facile aggiornamento di Redmine 10
Top plugin e funzionalità
Nuovo e design mobile
Aggiornamenti del server
Nube globale

Inizia la prova gratuita

Prova Easy Redmine in una prova gratuita di 30 giorni

Full-featured, 30 Days, protetti da SSL, backup giornalieri, nella tua posizione geo

or