反饋已提交
網絡繁忙
為了提升産品的安全性,本文整理了,正式工程中應當開啓的相關安全設定,請參照本文對工程進行安全加固。
注1:如無法完成産品升級和加固,請至少參考文檔完成:限制IP存取工程
注2:參照本文進行安全配置後,部分功能會有影響,主要面向安全訴求更高的客戶。
操作目的:當前處於高危版本「JAR包在 2023-07-21 之前版本」的工程,請升級至最新版本。
操作內容:清空impl資料夾、換工程JAR包、刪netty JAR包,重啓即可。
2)獲取最新版本JAR包,將除designer資料夾以外的檔案,更換到工程 %Tomcat_HOME%/webapps/webroot/WEB-INF/lib下
3)手動刪除工程%Tomcat_HOME%/webapps/webroot/WEB-INF/lib下名稱包含netty的相關jar包
4)手動刪除%Tomcat_HOME%/webapps/webroot/WEB-INF/classes/com/fr/data下impl資料夾中所有檔案(不存在可忽略)
5)請參考「關閉或重啓FineReport工程」文檔,重啓工程,完成升級
注:上文簡單描述了伺服器工程升級的操作步驟,更詳細升級指南請參考:
伺服器工程升級請參考:工程小版本升級指南
設計器升級請參考:設計器升級指南
2)請聯系技術支援獲取6.0.12版本JAR包,將所有檔案上傳更換到工程%Tomcat_HOME%/webapps/webroot/WEB-INF/lib下
5)請參考「關閉或重啓FineBI工程」文檔,重啓工程,完成升級
注:上文簡單描述了伺服器工程升級的操作步驟,更詳細升級指南請參考:小版本升級指南
1)備份工程,關閉工程
2)獲取最新版本JAR包,將所有檔案上傳更換到工程%Tomcat_HOME%/webapps/webroot/WEB-INF/lib下
注:上文簡單描述了伺服器工程升級的操作步驟,更詳細升級指南請參考:5.1.19及之後版本升級指南
操作目的:當前處於高危版本「JAR包在 2023-07-21 之前版本」的工程,請升級至最新版本
推薦配置:請跨大版本升級至「FR11.x
如選擇本種操作方式,請聯系帆軟技術支援協助。技術支援聯系方式:服務平台>線上支援。
最低配置:請至少小版本升級至 2023-07-21 及之後版本,例如從10.0.4升級至10.0.19.33
如選擇本種操作方式,可參考下文清空impl資料夾、換工程JAR包、更換netty JAR包,重啓即可。
2)獲取最新版本JAR包,將除designer資料夾以外的檔案,更換到工程%Tomcat_HOME%/webapps/webroot/WEB-INF/lib下
4)下載驅動:netty安全驅動,將jar包上傳到%Tomcat_HOME%/webapps/webroot/WEB-INF/lib下
5)手動刪除%Tomcat_HOME%/webapps/webroot/WEB-INF/classes/com/fr/data下impl資料夾中所有檔案(不存在可忽略)
6)請參考「關閉或重啓FineReport工程」文檔,重啓工程,完成升級
FineBI5.1.18.x系列
FineBI5.1.17及之前
6)請參考「關閉或重啓FineBI工程」文檔,重啓工程,完成升級
注:上文簡單描述了伺服器工程升級的操作步驟,更詳細升級指南請參考:5.1.5-5.1.18版本升級指南
工程上所有的插件,建議全部更新至最新版本。
建議至少確定以下插件升級到安全版本(若未安裝相應插件可忽略):
1)建議先參考2.1節升級FineReport主JAR版本到最新
2)至少升級FineReport主JAR版本到2023.05.12及之後
3)升級插件版本到帆軟市場最新版本V1.17.1.1(2023-08-04發布)
插件升級步驟請參考:伺服器插件管理
2023-06以下版本
FineReport11.0升級插件版本到最新版本V4.6.10
FineReport10.0升級插件版本到插件商城最新版本
升級插件版本到最新版本
插件作用:
對於被爆破了賬密的系統能有效提升伺服器安全性
插件安裝:
點選下載插件:安全加固插件
插件安裝步驟請參考:伺服器插件管理
注:插件安裝完成後,需重啓工程生效。
1)插件安裝後,需要重啓生效
2)插件安裝後,資料連結處的SQL驗證查詢功能不可用
3)插件安裝後,不可新增JNDI資料連結
4)插件安裝後,水印設定禁用部分函式
5)插件安裝後,日誌管理處的手動清理日誌功能被遮蔽
插件主要用於限制存取IP,預防channelAPI反序列化
插件安裝及配置步驟請參見:限制IP存取工程
有三種配置方案,請根據需要選擇:
方案一:限制白名單外的IP無法透過任何方式存取工程,包括但不限於:遠端設計連結工程、登入平台查看範本、單點登入查看範本等。
方案二:限制白名單外的IP無法透過遠端設計(channelAPI)連結工程
方案三:限制任何使用者均無法透過遠端設計(channelAPI)連結工程
點選下載插件:fine_conf_entity視覺化配置插件
設計器插件安裝方法參照 設計器插件管理
伺服器安裝插件方法參照 伺服器插件管理
插件安裝成功後,超級管理者登入數據決策系統,點選「管理系統」,新增「系統工具」設定。如下圖所示:
注:由於 FineDB 的修改非常重要,影響較大,因此僅支援超管進行操作,不支援次級管理者操作。
配置方法支援以下兩種方式:
選擇參數配置:系統參數名(key)下拉框中羅列了支援配置的 fine_conf_entity 參數,使用者可直接在下拉框中選擇參數,配置參數值(value)。
自訂參數配置:使用者可自行輸入支援配置的 fine_conf_entity 參數名(key),並自動跳出參數值(value),使用者可修改並儲存參數值。
兩種配置方式支援配置的參數完全相同,建議修改的 fine_conf_entity 中的配置參數和參數值如下表所示:
作用:是否隱藏system info中的版本資訊
true:系統資訊API不傳回版本資訊。
以下參數無法透過「fine_conf_entity視覺化配置插件」進行修改,需手動修改或透過聯系資料庫管理者修改配置庫的方式進行修改。
如果 fine_conf_entity 表中不存在以下配置項,請手動新增。
操作方法請參考:填報修改fine_conf_entity 。
true:插件包完整性校驗開啓
注意:開啓後無法從頁面上安裝沒有官方簽章的插件。
true:允許上傳驅動 JAR 包。
參數配置完成後,需刪除「fine_conf_entity視覺化配置插件」。
設計器插件刪除方法參照 設計器插件管理
伺服器安裝刪除方法參照 伺服器插件管理
作用:
需要使用者登入後才可存取範本,可單獨配置不需要進行認證的範本。
建議:
1)預設選擇「僅認證帳號密碼」,使用者可自行調整切換。
2)建議針對不同範本進行具體的「角色權限認證」配置,如果過於複雜難以配置,則建議開啓「僅認證帳號密碼」。
2)需要認證的範本預設全選,如有部分場景需要免鑒權存取,則按需針對指定範本免認證。但不建議擴展該場景,以防有安全風險。
需要登入驗證,登入成功後,所有使用者權限都一樣
只要得到了範本預覽URL,登入使用者都可以查看對應的報表範本
需要登入驗證,登入成功後,根據使用者的角色資訊,不同的使用者有不同的權限
每個使用者只能查看到有權限查看到的報表範本。
注意事項:
開啓範本認證,選擇需要認證的範本為預設需要認證所有的範本,鎖定後則表示該範本不需要進行認證。
開啓後如果沒有具體配置,則原先無需登入就可以存取的範本,會受到影響無法存取,要求使用者登入。
設計器端預覽報表,會受到範本認證的限制,可能會對範本製作時的預覽造成不便。
作用:增加密碼破解的難度。
建議:管理者登入數據決策系統,點選「管理系統>使用者管理>全局設定」。
若系統使用「平台內建認證」,則需進行密碼策略設定。
若系統使用「LDAP認證」或「HTTP認證」,則無需進行密碼策略設定,密碼安全性由客戶自己的認證系統保證。
注意:設定了自訂登入網頁的工程,請勿執行本節操作,「系統管理>登入」相關配置項與自訂登入網頁不相容。
基於安全考慮,建議更換為預設登入頁。
操作:管理者登入數據決策系統,點選「管理系統>系統管理>登入」,在「密碼策略設定」處建議勾選以下配置:
設定密碼強度策略(推薦密碼長度8位,包含數字、大小寫字母、符號)
設定初始密碼強制修改
設定定期修改密碼
設定修改密碼驗證方式
開啓初始密碼強制修改
開啓曆史密碼重複校驗
作用:主要用於防暴力破解。
開啓登入鎖定。必選,最簡單有效的攻擊方式就是弱密碼爆破進入工程,再提權或透過其他手段入侵伺服器。
開啓滑塊驗證。非必選項,如果已開啓登入鎖定,該項可選擇不開啓。
操作:管理者登入數據決策系統,點選「管理系統>系統管理>登入」,開啓「登入驗證」和「登入鎖定>滑塊驗證」。
滑鼠選中內容,快速回饋問題
滑鼠選中存在疑惑的內容,即可快速回饋問題,我們將會跟進處理。
不再提示
10s後關閉
反馈已提交
网络繁忙