1. 概述
1.1 版本
| 运维平台版本 | 功能变更 |
|---|---|
| V2.27.0 | - |
1.2 应用场景
国企、银行等客户,对项目安全要求较高,需要对项目开启防护机制。
运维平台提供组件级配置「安全模式」,限制外部访问并消除数据残留风险,确保系统仅对授权网段开放,且敏感操作痕迹自动清理,从而通过安全扫描并降低攻击面。
2. 开启安全模式
1)管理员登录运维平台,选择项目,点击「维护>组件管理」。
2)支持为项目的这些组件容器开启「安全模式」:nginx、minio、bi-minio
3)弹窗提醒「开启安全模式后将自动修改组件相关配置」,点击「确定」,系统自动调整安全相关配置,开启成功。
4)在项目管理界面,如果项目中存在开启了「安全模式」的容器,项目名称后将出现安全标志。
关闭安全模式的操作与开启相同,再次点击对应组件容器的「安全模式」按钮即可。
3. 安全模式影响说明
3.1 nginx
开启安全模式后:项目外挂目录/fanruanxxx/nginx/conf/safe中自动创建 safe.conf 文件,该文件将作为自定义配置文件加载到 Nginx 主配置中。
关闭安全模式后:safe.conf 文件被自动删除,相关配置自动消失。
默认配置
safe.conf 文件包含以下安全响应头设置,所有经过该 Nginx 容器转发的组件响应都将携带这些安全头:
add_header Referrer-Policy "same-origin" always;
add_header X-Permitted-Cross-Domain-Policies "none";
add_header Content-Security-Policy "object-src 'self'";
add_header X-Download-Options "noopen";
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
add_header Cache-Control "no-cache";
add_header Pragma "no-cache";
add_header Expires "Thu, 01 Jan 1970 00:00:00 GMT";
自定义配置
管理员可通过编辑/fanruanxxx/nginx/conf/safe/safe.conf文件,自定义修改请求头的配置值。
| header | 说明 | ||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Referrer-Policy | 作用: 控制浏览器在跨域请求时发送的Referer信息,防止敏感URL参数泄露,避免跨站请求伪造(CSRF)攻击 支持值说明:(默认值same-origin)
| ||||||||||||||||||||||||||||||||
| X-Permitted-Cross-Domain-Policies | 作用: 限制不同域名间的资源访问权限,可有效降低跨域攻击风险 支持值说明:(默认值none)
| ||||||||||||||||||||||||||||||||
| Content-Security-Policy | 作用: 内容安全策略,通过资源加载白名单策略保障网页安全,防御XSS攻击和数据注入威胁 支持值说明:(默认值object-src 'self') 该请求头的值由指令和指令值组成,支持为不同指令设置值。 例如:add_header Content-Security-Policy "default-src 'self'; object-src 'none'"; 本文仅列出常见的指令和指令值,更多内容请自行百度学习。
| ||||||||||||||||||||||||||||||||
| X-Download-Options | 作用: 禁止浏览器自动打开下载文件,防范IE浏览器的文件预览执行风险 支持值说明:(默认值noopen) noopen:唯一有效值,禁止自动打开下载文件 | ||||||||||||||||||||||||||||||||
| X-Content-Type-Options | 作用: 禁止浏览器 MIME 嗅探,确保浏览器遵循服务器提供的MIME类型,提高安全性和一致性 支持值说明:(默认值nosniff) nosniff:唯一有效值,禁止 MIME 嗅探 | ||||||||||||||||||||||||||||||||
| X-XSS-Protection | 作用: 控制浏览器XSS过滤机制,通过检测响应中的恶意脚本阻止页面加载 支持值说明:(默认值1; mode=block)
| ||||||||||||||||||||||||||||||||
| Strict-Transport-Security | 作用: 强制浏览器使用 HTTPS 连接,防止 SSL 剥离攻击 完整语法:max-age=<seconds>; includeSubDomains; preload 默认值:max-age=31536000; includeSubDomains
| ||||||||||||||||||||||||||||||||
| Cache-Control | 作用: 指定请求和响应遵循的缓存机制 支持值说明:(默认值no-cache)
| ||||||||||||||||||||||||||||||||
| Pragma | 作用: 控制HTTP缓存机制 支持值说明:(默认值no-cache) no-cache:唯一常用值,效果类似 Cache-Control: no-cache | ||||||||||||||||||||||||||||||||
| Expires | 作用: 指定资源的过期时间 默认值:Thu, 01 Jan 1970 00:00:00 GMT | ||||||||||||||||||||||||||||||||
3.2 minio和bi-minio
MINIO_BROWSER=off,是用于禁用MinIO自带的Web控制台,可减少外部访问风险,最小化暴露服务端口。
开启minio或bi-minio容器的安全模式后:容器新增环境变量MINIO_BROWSER=off,无法访问MinIO自带的Web控制台
关闭minio或bi-minio容器的安全模式后:容器自动移除环境变量MINIO_BROWSER=off,可以访问MinIO自带的Web控制台
上一篇:导出项目部署信息
