如果你的 Confluence 站点是对公众开放的(允许匿名用户使用,添加评论,创建页面等),你可能会发现你的站点会被自动创建很多垃圾页面,评论或者其他垃圾内容。 你可以配置让 Confluence 通过确定添加内容的人为真正的用户而不是机器来确定内容是否是垃圾内容: 创建一个账户 添加一个评论 创建一个页面 编辑一个界面 向 Confluence 管理员发送请求 验证码(Captcha)是一个测试小程序来用于自动区分用户或者机器(比如说 robot 或 spider)。当验证码被启用后,用户将会看到下面随机的图片中的文字,然后用户必须将文字输入到文本框中随着表单同时提交。 屏幕截图:验证码测试示例 在默认情况下验证码是禁用的。当启用后,默认的配置是紧急针对匿名用户在对页面进行编辑和创建的时候需要使用验证码进行校验。你可以为所有用户选择使用验证码,你也可以直为一个特定的用户组选择启用验证码。 你需要具有系统管理员权限来配置验证码,来帮助 Confluence 防止垃圾内容。 如何在 Confluence 启用验证码来防止垃圾: 在屏幕的右上角单击 控制台按钮 ,然后选择 General Configuration 链接。 在左侧的面板中选择 垃圾防止(Spam Prevention)。 在 Captcha 中选择 启用(ON)。 如果你希望为一些特定的用户组禁用验证码: 如果你希望任何人都需要使用验证码,选择 没有人(No one)。 如果你希望只是匿名用户需要使用验证码,选择 已登录的用户(Signed in users)。 如果你希望除了只是特定的用户不需要看到验证码,选择 下面用户组的成员(Members of the following groups),然后在文本框中输入用户组的名字。 你可以选择放大镜图标来查找用户组。搜索所有或者部分用户组的名字,然后单击 选择用户组(Select Groups)按钮添加一个或者多个用户组到列表中。 希望从用户组列表中移除,删除用户组的名字就可以了。 选择 保存(Save) https://www.cwiki.us/display/CONF6ZH/Configuring+Captcha+for+Spam+Prevention
人员目录提供了你 Confluence 中所有用户的列表。 如果你希望禁用人员目录,请在你应用程序命令行中的 Configuring System Properties 进行设置。 希望为匿名用户禁用人员目录。 -Dconfluence.disable.peopledirectory.anonymous=true 完全禁用人员目录: -Dconfluence.disable.peopledirectory.all=true 这个配置将会禁止人员目录在主面板中进行显示,但是如果你导航到用户的属性页面,然后单击 "People" 链接(Dashboard >> People >> FullName >> Profile)或者你使用 URL <CONFLUENCE_INSTALL>/browsepeople.action 直接进入,你还是能访问人员目录的。 为了避免这个操作,你可以考虑在 Apache web 服务器上设置重定向这个 URL。 https://www.cwiki.us/display/CONF6ZH/Hiding+the+People+Directory
让一个系统能够变得更加坚固的最好办法是将系统独立出来。请参考你公司的安全管理策略和相关人员来找到你公司应该采用何种安全策略。这里有很多事情需要我们考虑,例如考虑如何安装我们的操作系统,应用服务器,数据库服务器,网络,防火墙,路由等。 这里我们有可能对这些配置进行一些基本的描述。 这个页面中的安全配置是基于我们已知情况下的最好配置了。 配置 Web 服务器 请参考有关系统管理员中的下面有关的信息: 配置 Apache 服务器来限制相关页面只有需要管理员权限的用户才能进行访问:Using Apache to limit access to the Confluence administration interface。Confluence Security. 如何降低风险和暴利攻击:Using Fail2Ban to limit login attemptsHow to reduce the risk of brute force attacks: Best Practices for Configuring Confluence Security. 配置应用服务器 请参考下面有关应用服务器级别的系统管理员指南: Tomcat security best practices 配置应用 有关如何你在 Confluence 设置角色,权限和过程的方法将会对 Confluence 产生很大的影响,不同的设置导致的安全结果也是不同的。 下面是有关一些 Confluence 特定的内容需要考虑的。没有任何安全设置都能够保证 100% 的安全的。这些安全策略被用来降低安全攻击对你系统产生的影响而让你系统能够更好的持续运行。 保持 Confluence 中只有少数用户具有管理员权限。基本上来说越少越好。例如,最多不要超过 3 个系统管理员。 同样的,限制具有较高权限的和用户组中的用户数量。如果只有一个部分应该访问敏感数据的话,那么限制这个敏感部门的用户数量。不要为了方便而不为这些用户设置特定的安全策略。不要给不需要访问敏感数据的用户的访问权限。 管理用户应该针对他们的管理员级别不同设置有不同的 Confluence 账号,这个账号应该与这些用户每天都使用的账号区分开来。如果John Doe 是一个系统管理员的话,他应该有一根常规的用户账号,这个账号不应该具有管理员权限来让他进行每天的工作(例如在 WIKI 写页面等)。这个账号可能被设置为 'john.doe' account。同时,这个用户应该还有一个完全不同的账号(这个账号应该不容易被外界随便猜测出来,甚至都不应该使用他规则的名字)来进行管理员相关的操作。这个账号可能为'jane smith' – 使用这个名字为一个假的名字,外界甚至没有办法猜测这个名字。这种设置的好处是,如果攻击者获得了 John Doe 的所有信息,包括 John Doe 的密码(可能是从 John Doe 的个人账号中偷出来的),但是攻击者没有办法确定管理员用户的用户名,因此攻击者也还是不能登录管理员系统进系统相关的操作。 限制管理员操作只有你才可以做。如果你不需要你的管理员在公司外部的网络进行进行任何管理操作的话,你可以限制管理员操作的界面只要特定的 IP 地址才能访问管理员界面中的的配置信息。请参考页面 Using Apache to limit access to the Confluence administration interface 中的内容进行配置。 当员工进行离职的时候,你需要创建公司员工的离职策略,并形成文字。 按时进行安全审查。了解当系统被攻击的时候,谁可以帮助你解决问题。进行 ‘如果这样了’ 我们应该进行如何操作的议题。(当用户在外出度假的时候密码被偷窃了,我们最糟糕的情况将会面临什么?我们将如何减少损失?)。 请确定你的 Confluence 数据库用户(和所有数据源的用户)具有只他们需要的权限,不要大范围赋权。 监控你的文件系统中的文件。如果一个攻击者希望获得你系统中的用户信息,他们通常会尝试获得多个账号的访问权限。有时候这个通过添加恶意代码来实现的,比如通过修改你文件系统中的文件。对你操作系统上的文件,可以考虑运行常规的校验来确定没有恶意代码被添加到你文静系统中。 其他需要小心考虑的地方: 按时对上面描述的内容进行监控。很多事情在开始的时候可能没有问题,但是随着时间的进展,可能会导致问题恶化: 一个系统在开始的时候确实只有 3 个系统管理员,但是随着时间的推移和变化同时也没有人对系统管理员数量进行控制的话,一年后可能系统中有 30 个管理员了。 Apache 的管理员的限制可能在系统开始的时候是正确安装限制的,但是随着系统进行了多次升级后,我们可能忘了更新 Apache 的安全访问策略了。 再次说明的是,上面的所有安全配置可能不是所有你需要设置的安全信息和功能,安全设置与你系统安全的需求还是有很大关系的。同时,请注意没有人能够在安全上能够进行完全的保证。我们只能让攻击变得更加困难,我们好有足够的时间修复我们发现的问题。 https://www.cwiki.us/display/CONF6ZH/Best+Practices+for+Configuring+Confluence+Security
一个外部参考的意思是任何站点链接到你 Confluence 的实例。任何时候当 Confluence 的用户单击这个外部链接的时候,Confluence 可以记录这次单击为参考。 在默认的情况下,外部链接的参考链接在页面的 信息(Info)下面的 热点参考(Hot Referrers)下面。Confluence 显示最多 10 个参考链接。如果你的页面中有超过 10 个 链接,那么 Confluence 只会显示点击率最高的 10 个。 请注意,你不需要启用方向跟踪功能来查看外部参考。这个功能是默认就在页面中启用的。 屏幕截图:页面信息界面下的热点参考。 限制外部参考 Confluence 管理员可以取消外部参考来避免在你的 Confluence 站点中记录和显示。一旦你已经指定了阻止的 URLs,任何从满足你指定条件进来的 URL 将不会被记录。 参考 URL 连接将会被阻止,如果你的 URL 满足开头的字符串匹配的话。因此, http://evilspamsite.blogspot.com 同时也会匹配 http://evilspamsite.blogspot.com/nastypage.html 你可能希望在下面的场景中启用这个功能: 你安装的 Confluence 是能够允许公众访问的 在你允许公众访问的 Confluence 站点中,恶意网站可以使用垃圾技术来增加页面的连接显示次数,这个通常是通过站点边栏的 URL 来实现的。通过添加这些站点到 '限制的参考' 列表来禁止这些站点中的内容列出到你站点上。 Confluence 安装在一台服务器上,但是有多个域名或 IP 地址 Confluence 将会考虑任何原始 URL 的域名当 Confluence 以外部链接的方式安装的时候。然而,当一个 Confluence 实例安装在一台服务器上,但是这个服务器又具有多个 IP 地址和域名的时候,你需要添加其他的域名的前缀来让 Confluence 了解任何从这些域名来的链接是安全的,不需要添加到限制的链接中。 希望添加 URL 到限制的链接参考列表: 进入 > 基本配置(General Configuration) > 管理参考(Manage Referrers) 在 参考 URL 前缀(Referrer URL Prefix )字段中输入 URL(你必须以 http:// 开头) 选择 添加(Add) 你可以在列表中添加多个 URL。 隐藏外部参考 在默认的情况下,Confluence 列表中的外部参考显示为热点链接(Hot Referrers),这个链接在页面的信息界面下面。如果你关闭这个选项,外部链接参考将不会显示在页面信息下面。 希望隐藏外部参考: 进入 > 基本配置(General Configuration) > 管理参考(Manage Referrers)。 取消选择 显示参考页面信息(Show Referrers in Page Info)。 屏幕截图:管理外部参考 忽略外部参考 An external referrer is any site that links to your Confluence instance. Each time someone clicks on the external link, your Confluence site can record the click as a referral. By default, Confluence records the number of hits made to a page from any link on an external site. If you turn this option off, Confluence will not record the hits. 如果忽略外部参考: 进入 > 基本配置(General Configuration) > 管理参考(Manage Referrers) 取消选择记录外部参考(Record External Referrers) 屏幕截图:管理外部参考 https://www.cwiki.us/display/CONF6ZH/Trackback+and+External+Referrers
当反向跟踪(Trackback )被启用后,在任何你链接到可用启用自动发现功能的外部页面中,Confluence 将会自动发送一个方向跟踪 ping,这个 ping 能通知链接的页面有了内容改变。 Confluence 页面同时也支持 Trackback Autodiscovery,当然你需要在启用反向跟踪以后才可以。你可以可以让你的 Confluence 页面接受其他页面的更新。 希望启用反向跟踪: 进入 > 基本配置(General Configuration) > 更多配置(Further Configuration) 选择 编辑(Edit) 然后选择 反向跟踪(Trackback )前面的选择框,然后单击 保存(Save)。 https://www.cwiki.us/display/CONF6ZH/Trackback+and+External+Referrers
什么是 Fail2Ban? 我们需要在我们网站中防止密码的暴利破解。Fail2Ban 是一个 Python 的应用来查看日志文件,使用的是正则表达式,同时还可以与Shorewall (或者 iptables)直接工作来来启用临时黑名单。当一定的密码破解规则被使用后,就可以使用上面的方法了。我们可以用这个来限制给定的 URL 来访问 Confluence 的登录界面的次数。 安装要求 需要 Python 2.4 或者更新的版本。 需要指定下面的特定文档,这意味着你的 Apache 实例需要登录你的 Confluence 才能访问一个已知的日志文件(logfile)。你需要按照下面的要求正确调整配置。 如何设置 本列表是安装的核心部分: 针对 RHEL 我们有 RPM 是可以按照的,请进入下载页面,同时你还可以下载源代码收手动进行安装。 配置文件在 /etc/fail2ban 在原始状态下,默认的配置文件在 .conf 文件(fail2ban.conf 和 jail.conf)。请不要对这个进行修改,如果你进行修改的话,将会导致升级的时候困难。 在 .local 文件中对配置进行修改,这个将会与 .conf 文件中的配置进行合并。这个文件只会对你需要的修改部分进行修改,能够让你的维护更加容易和简单。 过滤器(Filters)在 filter.d 中进行定义 — 在这里这里,你可以定义正则表达式,每个正则表达式进入自己的文件。 Actions 在 action.d 文件中定义 — 你可能不需要添加一个,但是你知道在那里进行定义的能够帮你更好的找到问题。 "jails" 是配置单元,这个配置单元用来指定一个进行检查的正则表达式,当线程达到数量后,更多的 actions 将会被启动,这个是在线程中配置的(例如,在 60 秒钟,超过 3 次的满足正则表达式条件的地址,将会被禁止访问 600 秒) Jails 是在 jail.conf and jail.local 中定义的。不要忘记了为每一个都启动设置 — 这个有可能导致错误的启用,正确的却没有启用。 运行 Fail2Ban 使用 /etc/init.d/fail2ban {start|stop|status} 来进行进程相关的操作 使用 fail2ban-client -d 来导出当前的配置到 STDOUT。在你对问题进行查看的时候,这个就非常有帮助。 请注意 CPU 的使用。尽管可能你使用了非常简单的正则表达式,也有可能会导致 CPU 的使用飙升,如果你的站点的访问量比较大的话。 日志可以日志到 syslog 或者一个文件,你可以选择哪种方式更加适合你。 通用配置 jail.local # The DEFAULT allows a global definition of the options. They can be override # in each jail afterwards. [DEFAULT] # "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not # ban a host which matches an address in this list. Several addresses can be # defined using space separator. # ignoreip = <space-separated list of IPs> # "bantime" is the number of seconds that a host is banned. bantime = 600 # A host is banned if it has generated "maxretry" during the last "findtime" # seconds. findtime = 60 # "maxretry" is the number of failures before a host get banned. maxretry = 3 [ssh-iptables] enabled = false [apache-shorewall] enabled = true filter = cac-login action = shorewall logpath = /var/log/httpd/confluence-access.log bantime = 600 maxretry = 3 findtime = 60 backend = polling Confluence 的配置 下面仅仅被用来作为示例,你需要根据你的站点调整。 filter.d/confluence-login.conf [Definition] failregex = <HOST>.*"GET /login.action ignoreregex = https://www.cwiki.us/display/CONF6ZH/Using+Fail2Ban+to+limit+login+attempts
其他 Confluence 的 cookies 针对 Confluence 的功能,我们还使用了其他的一些 cookies 来存储基本的 产品持久性(product presentation)。Confluence 的用户授权信息不会存储到这些 cookies 中。 Cookie Key 目的(Purpose) Cookie 内容(Cookie Contents) 过期(Expiry) confluence.list.pages.cookie 在列表页面(list pages)中,记住用户最后选择的标签页(tab)。 用户最后选择标签页的名字。例如,list-content-tree 页面最后设置和访问后的 1 年。 confluence.browse.space.cookie 记住用户在 浏览器空间(browse space)部分最后选择的标签页(tab)。 最后选择的标签页的名字。例如, space-pages 页面最后设置和访问后的 1 年。 confluence-language 在用户登录界面中,记住用户选择的语言。这个 cookie 相关的特性允许用户从登录界面(不仅仅是这个地方)修改 Confluence 的语言。当用户浏览器显示的语言与用户希望的语言不一致的时候。 用户选择语言的地理标识。例如,de_DE 页面最后设置和访问后的 360 天。 AJS.conglomerate.cookie 跟踪最后打开或者关闭的通用标签或者表达式元素。 一个或者多个 key-value 字符串将会存储在这里,用来标记最后打开或者关闭的通用标签或者表达式元素 页面最后设置和访问后的 1 年。 备注 自动完成(autocomplete)是浏览器提供的一个文本字段功能(通常在你登录 Confluence 的时候你就能感觉到)。这个特性是浏览器的特性,不是 Confluence 提供的功能。Confluence 不能启用或者禁用浏览器的文本字符串自动完成功能,通常这个是通过浏览器的设置进行修改的。 https://www.cwiki.us/display/CONF6ZH/Confluence+Cookies
这个页面列出了存储在 Confluence 用户浏览器中的小型文字档案(Cookies)内容。这些内容是由 Confluence 自己创建的。这个页面不会列出由 Confluence 安装的第三方插件在你浏览器中创建的 cookies。 授权 cookies Confluence 使用 Seraph,是一个为 HTTP cookie 授权的开源框架。Confluence 为用户授权使用 2 种类型的 cookies 。 JSESSIONID cookie 是由应用服务器创建的,同时被用来跟踪用户会话信息。这个 cookie 包含有随机的字符串,随着每次会话的结束和浏览器的关闭,这个会话将会被终止。 当用户在登录界面中,选择记住我(Remember me)选择框的时候,'remember me' cookie, seraph.confluence,是由 Confluence 创建的。 有关 cookies 的相关信息,你可以阅读 Wikipedia page about HTTP cookies 页面中的内容。 'remember me' cookie 'remember me' cookie, seraph.confluence,是一个长期存活的 HTTP cookie。这个 cookie 可以被用来授权一个没有授权的会话。当用户在登录界面的时候选择了记住我(Remember me)Confluence 将会创建这个 cookie。 Cookie 的 key 和内容 在默认的情况下,cookie 的 key 是 seraph.confluence,这个配置是在 login.cookie.key 参数中定义的。这个参数可以在 CONFLUENCE-INSTALLATION/confluence/WEB-INF/classes/seraph-config.xml 文件中找到。 cookie 包含有一个独一无二的识别号同时包含一个安全随机字符串(例如,token)。这个 token 是 Confluence 创建的,同时还存储在 Confluence 数据库中。 为授权使用 cookie 当用户请求一个 web 页面的时候。用户没有通过基于会话的授权的话,Confluence 将会对比 记住我(remember me)中存储的 cookie(如果这个 cookie 存在的话)。这个 cookie 为用户存储数据在 Confluence 数据库中。 如果 cookie 中的 token与存储在数据库中的 token 相同,那么表示这个用户的 cookie 没有过期,用户能够被顺利授权。 'remember me' cookies 的生命周期 你可以配置这个 cookie 的最大生存周期。希望对这个配置进行修改,你需要修改 CONFLUENCE-INSTALLATION/confluence/WEB-INF/classes/seraph-config.xml 文件,然后插入下面的配置参数到 init-param 元素下: <init-param> <param-name>autologin.cookie.age</param-name> <param-value>2592000</param-value><!-- 30 days in seconds --> </init-param> 'remember me' tokens 的自动清理 所有由 Confluence 签发的 cookie 都会存储在数据库库中。我们有一个计划任务在每个月 20 号的时候清理过期的 token。这个是由触发器 clearExpiredRememberMeTokensTrigger 触发的。 注意:这个计划任务的的主要任务是为了避免数据库中数据的过度膨胀。在用户授权部分,Confluence 将会忽略掉过期的 token,而让过期的 token 在数据库中一直存在。 可以禁用 'remember me' 功能吗? Confluence 不提供禁用 'Remember Me' 的功能,请参考 workaround 页面中的内容。 https://www.cwiki.us/display/CONF6ZH/Confluence+Cookies
禁用密码确定。 Confluence 安装使用自定义授权机制有可能会在密码校验的时候遇到问题。如果必要的话,你可以设置 password.confirmation.disabled 系统属性来禁用密码校验功能。请参考 Recognized System Properties 页面中的更多信息。同时请参考问题 CONF-20958 问题中国的描述。 WebSudo。这个特性将会提供管理和会话的安全性,同时被称为 'WebSudo'。 手动结束安全会话。 管理员可以通过单击 取消访问(drop access)链接来终止管理员现在使用的安全会话。例如: 针对开发人员。 管理员的安全会话可能在 Confluence 进行开发的时候或者安装插件的时候遇到问题。请阅读下面的问题解答: How do I develop against Confluence with Secure Administrator Sessions? 请注意:Confluence XML-RPC 和 REST APIs 不会受到管理员安全会话的影响。 https://www.cwiki.us/display/CONF6ZH/Configuring+Secure+Administrator+Sessions
Confluence 通过使用 Confluence administration console 来显示管理员访问后台管理的功能或者管理一个空间。当一个 Confluence 管理员(以管理员身份登录 Confluence)尝试访问管理员的功能,这些用户将会提示输入用户名和密码进行再次登录。这次登录将会赋予 Confluence 一个临时的会话来让这些用户能够使用 Confluence 和空间的管理功能。 这个临时的安全会话将会过期(通常是 10 分钟)。如果 Confluence 管理员在 10 分钟内没有进行任何操作的话,这个用户的会话将会被服务器注销掉,用户将会被被服务器提示需要重新登录(请注意,这种情况的时候,用户的界面还是会显示已经登录的管理员界面)。当管理单击任何管理操作,用户的超时时间将会被重置。 希望配置管理员安全会话: 在屏幕的右上角单击 控制台按钮 ,然后选择 General Configuration 链接。 在左侧的面板中选择 安全配置(Security Configuration)。 选择 编辑(Edit)。 配置下面的设置: 希望禁用管理员安全会话,单击取消选择 安全管理会话(Secure administrator sessions)前面的 启用(Enable )。当你设置这个配置为禁用的话,那么系统的管理将不会在访问管理员功能的时候创建安全会话来访问系统管理员的功能。 针对管理员安全的会话,希望修改超时时间,请修改有效分钟(minutes before invalidation)边上的参数。默认的管理员会话超时时间是 10 分钟。 选择 保存(Save)。 https://www.cwiki.us/display/CONF6ZH/Configuring+Secure+Administrator+Sessions