為了提升產品的安全性,本文整理了,正式工程中應當開啟的相關安全設定,請參照本文對工程進行加固。
注1:如無法完成產品升級和加固,請至少參考文檔完成:限制IP存取工程
注2:參照本文進行安全配置後,部分功能會有影響,主要面向安全訴求更高的客戶。
操作目的:當前處於高危版本「JAR包在 2023-07-21 之前版本」的工程,請升級至最新版本
操作內容:清空impl資料夾、換工程JAR包、刪netty JAR包,重啟即可。
2)獲取最新版本JAR包,將除designer資料夾以外的檔案,更換到工程 %Tomcat_HOME%/webapps/webroot/WEB-INF/lib下
3)手動刪除工程%Tomcat_HOME%/webapps/webroot/WEB-INF/lib下名稱包含netty的相關jar包
4)手動刪除%Tomcat_HOME%/webapps/webroot/WEB-INF/classes/com/fr/data下impl資料夾中所有檔案(不存在可忽略)
5)請參考「關閉或重啟FineReport工程」文檔,重啟工程,完成升級
注:上文簡單描述了伺服器工程升級的操作步驟,更詳細升級指南請參考:
伺服器工程升級請參考:工程小版本升級指南
設計器升級請參考:設計器升級指南
2)請聯絡技術支援獲取6.0.12版本JAR包,將所有檔案上傳更換到工程%Tomcat_HOME%/webapps/webroot/WEB-INF/lib下
5)請參考「關閉或重啟FineBI工程」文檔,重啟工程,完成升級
注:上文簡單描述了伺服器工程升級的操作步驟,更詳細升級指南請參考:小版本升級指南
1)備份工程,關閉工程
2)獲取最新版本JAR包,將所有檔案上傳更換到工程%Tomcat_HOME%/webapps/webroot/WEB-INF/lib下
注:上文簡單描述了伺服器工程升級的操作步驟,更詳細升級指南請參考:5.1.19及之後版本升級指南
推薦配置:請跨大版本升級至「FR11.x&BI6.x系列」最高版本,例如從FineReport10.0.4升級至FineReport11.0.19。
如選擇本種操作方式,請聯絡帆軟技術支援協助。技術支援聯絡方式:服務平台>線上支援。
最低配置:請至少小版本升級至 2023-07-21 及之後版本,例如從10.0.4升級至10.0.19.33
如選擇本種操作方式,可參考下文清空impl資料夾、換工程JAR包、更換netty JAR包,重啟即可。
2)獲取最新版本JAR包,將除designer資料夾以外的檔案,更換到工程%Tomcat_HOME%/webapps/webroot/WEB-INF/lib下
4)下載驅動:netty安全驅動,將jar包上傳到%Tomcat_HOME%/webapps/webroot/WEB-INF/lib下
5)手動刪除%Tomcat_HOME%/webapps/webroot/WEB-INF/classes/com/fr/data下impl資料夾中所有檔案(不存在可忽略)
6)請參考「關閉或重啟FineReport工程」文檔,重啟工程,完成升級
FineBI5.1.18.x系列
FineBI5.1.17及之前
6)請參考「關閉或重啟FineBI工程」文檔,重啟工程,完成升級
注:上文簡單描述了伺服器工程升級的操作步驟,更詳細升級指南請參考:5.1.5-5.1.18版本升級指南
工程上所有的插件,建議全部更新至最新版本。
建議至少確定以下插件升級到安全版本(若未安裝相應插件可忽略):
1)建議先參考2.1節升級FineReport主JAR版本到最新
2)至少升級FineReport主JAR版本到2023.05.12及之後
3)升級插件版本到帆軟市場最新版本V1.17.1.1(2023-08-04發佈)
插件升級步驟請參考:伺服器插件管理
FineReport11.0升級插件版本到最新版本V4.6.10
FineReport10.0升級插件版本到插件商城最新版本
升級插件版本到最新版本
插件作用:
對於被爆破了賬密的系統能有效提升伺服器安全性
插件安裝:
點選下載插件:安全加固插件
插件安裝步驟請參考:伺服器插件管理
注:插件安裝完成後,需重啟工程生效。
1)插件安裝後,需要重啟生效
2)插件安裝後,資料連結處的SQL驗證查詢功能不可用
3)插件安裝後,不可新增JNDI資料連結
4)插件安裝後,水印設定禁用部分函式
5)插件安裝後,日誌管理處的手動清理日誌功能被遮蔽
插件主要用於限制存取IP,預防channelAPI反序列化
插件安裝及配置步驟請參見:限制IP存取工程
有三種配置方案,請根據需要選擇:
方案一:限制白名單外的IP無法透過任何方式存取工程,包括但不限於:遠端設計連結工程、登入平台查看範本、單點登入查看範本等。
方案二:限制白名單外的IP無法透過遠端設計(channelAPI)連結工程
方案三:限制任何使用者均無法透過遠端設計(channelAPI)連結工程
點選下載插件:fine_conf_entity視覺化配置插件
插件安裝方法參照:伺服器插件管理
插件安裝成功後,超級管理者登入FineBI系統,點選「管理系統」,新增「系統工具」設定。如下圖所示:
注:由於 FineDB 的修改非常重要,影響較大,因此僅支援超管進行操作,不支援次級管理者操作。
配置方法支援以下兩種:
選擇參數配置:系統參數名(key)下拉框中羅列了支援配置的 fine_conf_entity 參數,使用者可直接在下拉框中選擇參數,配置參數值(value)。
自訂參數配置:使用者可自行輸入支援配置的 fine_conf_entity 參數名(key),並自動跳出參數值(value),使用者可修改並儲存參數值。
兩種配置方式支援配置的參數完全相同,建議修改的 fine_conf_entity 中的配置參數和參數值如下表所示:
true:系統資訊API不傳回版本資訊。
以下參數無法透過「fine_conf_entity視覺化配置插件」進行修改,需手動修改或透過聯絡資料庫管理者修改配置庫的方式進行修改。
如果 fine_conf_entity 表中不存在以下配置項,請手動新增。
操作方法請參考:填報修改fine_conf_entity 。
true:插件包完整性校驗開啟
注意:開啟後無法從頁面上安裝沒有官方簽章的插件。
true:允許上傳驅動 JAR 包。
參數配置完成後,需刪除「fine_conf_entity視覺化配置插件」。
插件刪除方法參照:伺服器插件管理
作用:
需要使用者登入後才可存取範本,可單獨配置不需要進行認證的範本。
建議:
1)預設選擇「僅認證帳號密碼」,使用者可自行調整切換。
2)建議針對不同範本進行具體的「角色權限認證」配置,如果過於複雜難以配置,則建議開啟「僅認證帳號密碼」。
2)需要認證的範本預設全選,如有部分場景需要免鑑權存取,則按需針對指定範本免認證。但不建議擴展該場景,以防有安全風險。
需要登入驗證,登入成功後,根據使用者的角色資訊,不同的使用者有不同的權限,每個使用者只能查看到有權限查看到的範本
注意事項:
開啟範本認證,選擇需要認證的範本為預設需要認證所有的範本,鎖定後則表示該範本不需要進行認證。
開啟後如果沒有具體配置,則原先無需登入就可以存取的範本,會受到影響無法存取,要求使用者登入。
作用:增加密碼破解的難度。
建議:管理者登入FineBI系統,點選「管理系統>使用者管理>全局設定」。
若系統使用「平台內建認證」,則需進行密碼策略設定。
若系統使用「LDAP認證」或「HTTP認證」,則無需進行密碼策略設定,密碼安全性由客戶自己的認證系統保證。
注意:設定了自訂登入網頁的工程,請勿執行本節操作,「系統管理>登入」相關配置項與自訂登入網頁不相容。
基於安全考慮,建議更換為預設登入頁。
操作:管理者登入FineBI系統,點選「管理系統>系統管理>登入」,在「密碼策略設定」處建議勾選以下配置:
設定密碼強度策略(推薦密碼長度8位,包含數字、大小寫字母、符號)
設定初始密碼強制修改
設定定期修改密碼
設定修改密碼驗證方式
開啟初始密碼強制修改
開啟歷史密碼重複校驗
作用:主要用於防暴力破解。
開啟登入鎖定。必選,最簡單有效的攻擊方式就是弱密碼爆破進入工程,再提權或透過其他手段入侵伺服器。
開啟滑塊驗證。非必選項,如果已開啟登入鎖定,該項可選擇不開啟。
操作:管理者登入FineBI系統,點選「管理系統>系統管理>登入」,開啟「登入驗證」和「登入鎖定>滑塊驗證」。
滑鼠選中內容,快速回饋問題
滑鼠選中存在疑惑的內容,即可快速回饋問題,我們將會跟進處理。
不再提示
10s後關閉
反馈已提交
网络繁忙