سؤال
ما هي أفضل الممارسات لإعداد خادم تخريب آمن؟ نحن نستخدم حاليا خادم VisualSVN مع تطبيق Active Directory و HTTPS. الآن نريد تقديم اتصال من خارج جدار الحماية. ما هو المخاطر الأمنية حول ذلك؟ هل هناك إمكانية لمنع هجمات قوة الروت في تسجيل الدخول؟
يحيي رولاند
المحلول
إذا كنت تستخدم مصادقة Active Directory - يجب أن أتوقع إحباط هجوم القوة الغاشمة بواسطة نظام Windows العادي لإغلاق الحسابات التي لديها الكثير من فشل كلمة المرور عليها.
أي نوع من الوصول الذي تمنح جدار الحماية؟ إذا كان الوصول إلى المطور (العمل من المواد المنزلية)، فقد تفكر في استخدام VPN. إذا كانت الأشياء Readonly، فقد تفكر في تعريض مرآة بدلا من الخادم الرئيسي.
نصائح أخرى
نستخدم SVN + SSH وتشجيع استخدام الصيارات على المفاتيح. إذا كنت تستطيع، استخدم منفذ SSH بديل بدلا من 22.
لقد استخدمت Apache مع MOD_DAV_SVN. يستخدم خادم VisualSVN Apache. لن يكون لديك مشاكل معها لا تعمل مع عميل VisualSvn. يمكنك بعد ذلك تأمين SVN مثل أي مورد ويب آخر. يمكنك حتى فرض SSL. هذا يفترض المصادقة الأساسية. يمكنك استخدام أي شيء بما في ذلك LDAP و الدليل النشط للمصادف.
<Location /svn>
DAV svn
SVNParentPath /usr/local/svn
AuthType Basic
AuthName "Subversion repository"
AuthUserFile /etc/svn-auth-file
Require valid-user
</Location>
أكثر هنا