Gratis provperiod
se
Språk
  • en
  • de
  • fr
  • es
  • br
  • ru
  • jp
  • kr
AI-översättning
  • ee
  • ae
  • cn
  • vn
  • id
  • eu
  • il
  • gr
  • no
  • fi
  • dk
  • se
  • tr
  • bg
  • nl
  • it
  • pl
  • hu
  • ro
  • ua
  • cs
Easy Redmine
Träningscenter för Redmine-användare
Nyheter i Easy Redmine
Säker Redmine Server - Säkerhetstips för din webbapplikation

Säker Redmine Server - Säkerhetstips för din webbapplikation

12/10/2019
5 minutes
Róbert Kováčik

Vi ger några råd (inklusive starka rekommendationer) om hur du håller din (Enkla) Redmine säker och motståndskraftig. Vissa tips kan verka uppenbara, men en bra checklista bör innehålla allt.

Data security är alltid viktigt för alla typer av organisationer och programvara. Under lång tid har data säkerhet också varit ett av de mest diskuterade affärsteman. Ju mer avancerad teknik vi använder, desto högre förväntas och behövs nivån på data och applikationsskydd. Så varför underskatta risker om det finns en enkel lösning för ditt Redmine? Säkra ditt företag med Easy Redmine idag. Så här gör du.

Starta gratis provperiod
& säkra ditt Redmine idag


1. Använd HTTPS-anslutning

  • Skapa ett självsignerat certifikat eller köp ett betrott certifikat. Instruktioner om hur man skapar ett självsignerat certifikat finns här.
  • Konfigurera din webbserver för att hålla en säker anslutning korrekt. Begränsa helt begäranden från portarna 80 eller 8080 eller konfigurera rätt ruttering av dem till en säker port. Detaljerade instruktioner för säker Nginx-konfiguration finns direkt i Easy Redmine installationspaketet under doc/INSTALL.
  • I dina (Easy) Redmine-inställningar (Administration >> Inställningar), konfigurera rätt protokolltyp (HTTPS). Det är en mycket viktig men ofta förbisedd punkt. Kom ihåg att inte alla Redmine-tillägg använder korrekta rutter från systemet. Vissa av dem letar bara efter denna specifika inställning för att definiera vilket protokoll som ska användas. Det är inte korrekt, men det händer. Så det är bättre att vara säker på att protokollet alltid kommer att vara HTTPS.
  • För att verifiera kvaliteten på din SSL-konfiguration kan du använda verktyg som detta.
  • Om det finns några bilder eller annan data som du hämtar från andra webbplatser (till exempel logotyper, bildkällor), se till att de också använder HTTPS-protokollet. Annars kan det teoretiskt sett orsaka en oklar säkerhetsrisk i ditt system. Du kan enkelt kontrollera om allt är i ordning med din webbplats eller inte. Om det finns några källor från HTTP kommer din webbläsare att markera ditt protokoll med röd färg och ibland kan det vara överstruket. Men övergripande sett handlar denna sista punkt mest om utbildning och disciplin hos dina användare. Vissa saker kan inte tvingas fram.


2. Kontrollera och dela upp behörigheter

  • Se till att din applikation inte körs från roten (åtminstone mapparna public, tmp, files, log). Vi rekommenderar starkt att hela applikationen + ruby installeras från en specifik användare.
  • Se till att du inte har behörigheter som 777 för någon applikationsmapp. Optimala behörigheter är 755 eller för vissa filer 644.


3. Håll oanvända portar stängda

  • Begär att dina systemadministratörer eller webbhotell stänger alla oanvända portar. Öppna dem endast om du behöver uppdatera systemet, ruby eller applikationen.


4. Använd starka lösenord

  • Se till att du inte använder samma lösenord för din rotserveranvändare, rot-databasanvändare, applikationsserveranvändare, databasapplikationsanvändare och administratör eller någon annan användare inuti din applikation.
  • Alla lösenord bör vara olika, tillräckligt långa - åtminstone 15 tecken, innehålla bokstäver, siffror och specialtecken...eller helt enkelt vara bara långa. Fall inte i ett tillstånd av slöhet och se till att du ändrar lösenord minst inuti applikationen minst var 6:e månad.
  • Mer om lösenord och autentisering i Easy Redmine presenteras i vårt tidigare GDPR-webbinarium (nedan) och i kunskapsdatabasen.


5. Uppdatera din server och applikation regelbundet

  • Det är mycket viktigt att hålla allt uppdaterat. Världen förändras varje dag. IT-världen förändras ännu snabbare.
  • Varje dag hittas nya sårbarheter och nya säkerhetsprotokoll skapas. Om du använder föråldrade applikationer - ökar du risken för attacker eller bedrägerier genom din server. När uppdaterade du senast dina RubyGems?


6. Be careful with uploaded files

  • We recommend you to define file extensions that are allowed to be uploaded to your server. You may do it both from your web-server, or from inside (Easy) Redmine (Administration >> Settings >> Files). How to restrict or allow specific file extensions in Nginx you may find here. If you have settings on both at the same time, web-server wins.
  • Another option is to deploy an antivirus to check all uploaded files on the server. One free option is ClamAV.


That's not all...

These tips are the minimum that allows a Redmine admin to sleep peacefully - the application is secure. But naturally, you can add more layers of protection if required (proxy, reverse proxy, VPN, IP filter, etc.).

We can take responsibility for whole server security and implement a number of additional security measures for you at Redmine Private Cloud. If you have any questions, contact us. Make your Redmine properly secured thanks to Easy Redmine.

Prova Easy Redmine i en 30 dagars gratis provperiod

Fullständiga funktioner, SSL-skyddad, dagliga säkerhetskopior, i din geografiska plats