安全配置指南

系统配置

1.开启Redis安全认证

在 Redis 配置文件 redis.conf 中设置一个全局密码，所有连接都需要使用该密码进行身份验证。

2.开启Nacos安全认证

默认情况下，Nacos 实例没有开启认证，所有请求都允许访问。您需要在 Nacos 配置文件中进行设置。具体参考https://nacos.io/en-us/docs/auth.html

3.Https配置

开启https，通过https协议访问服务器。

4.Nginx配置禁止使用iframe嵌套

具体配置如下：

server {
    # 其他配置项
    location / {
        # 禁止使用 iframe 嵌入网站
        add_header X-Frame-Options DENY;
        # 其他配置项
    }
}

环境配置

1.EOS生产环境配置

在EOS应用的properties文件中添加如下配置

eos.profiles.active=prod

2.关闭Swagger

governor：

governor默认已关闭

gateway：

gateway未使用swagger

afcenter：

在user-config.xml中将下面swagger相关接口从白名单中去掉。
/swagger-ui.html,/v2/api-docs,/webjars/*,/swagger-resources/*

bps：

在user-config.xml中将下面swagger相关接口从白名单中去掉。
**/swagger-ui.html
将<configValue key="Include">nopath</configValue>改成
<configValue key="Include">*.flow,*.flowx,*,jsp,*.html,*.ajax,*.ext,*.action,*.beanx</configValue>

3.移除SDK白名单接口

将SDK接口从白名单中移除，

/api/afc/afc-proxy/*

4.跨域配置

系统上线后，可能会存在跨域攻击的风险，因此要规避这些风险，可以在AFCenter的后端服务里配置跨域的配置，以此来达到只允许配置的域能够访问后端服务，其他的请求无法访问。

具体配置路径如下：

产品安装目录下/config/application.properties文件，增加如下配置，重启服务即可生效，其中多个域名之间使用一个空格进行分隔

afc.cros_allowed_origins=demo1.com demo2.com

5.关闭sentinel

如果没有使用sentinel，则需要在应用的application.properties添加如下配置：

spring.cloud.sentinel.enabled=false

6.添加超时配置

在EOS应用的application.properties添加如下配置：

#单位为ms，压测时按需调整
server.app-server.connection-timeout=10000
server.connection-timeout=10000

7.系统管理员密码修改

admin/sysadmin内置用户密码修改

8.登录安全设置

在“登录安全”菜单中配置登录安全,修改密码强度、默认密码强制修改等，具体配置可参考如下页面：

9.水印配置

在“水印管理”菜单打开启用开关。

10.数据权限配置

对应用的数据实体，配置数据权限，支持行权限的配置。具体可以参考数据权限。

11.上传文件配置

根据项目需要配置上传文件类型的白名单和黑名单

#允许上传的文件类型
afc.attachments.allow-file-types=txt,zip,pdf,md,jpg,jpeg,png,gif,docx,doc,xlsx,pptx,mp3,mp4,wav,mov
#不允许上传的文件类型
afc.attachments.not-allow-file-types=exe,msi,bat,cmd,sh,ps1,jar,py,rb,php,jsp,asp,aspx,cgi,pl,dll,sys,so,class,swf,sql,db,sqlite,mdb,accdb,ini,reg,config,env,htaccess,htpasswd
#允许上传的最大文件大小(不配置默认不限制大小,文件大小支持K/M/G/T)
afc.attachments.file-max-size=50M

12.关闭actuator

将actuator接口从白名单中移除，

 /actuator/*