安全Webサーバ運用(redmineサーバのセキュア設定)@2015.01.03
当社では、大手企業向けにredmineをベースにした業務システムの開発し、運用する機会が多いのですが、redmineをより安全に運用するためには、GUI設定以外に、コンフィグファイルを直接設定変更して不正アクセスなどの攻撃をより防ぐように努めています。
cookieのsecure属性指定 (http利用時にhttps cookieを読まさせない)
-
- /var/lib/redmine/config/application.rb の内容を下記のように変更
config.session_store :cookie_store, :key => '_redmine_session' ↓ config.session_store :cookie_store, :key => '_redmine_session', :secure => true
-
- /var/lib/redmine/config/configuration.yml の内容を下記のように変更
autologin_cookie_name: autologin_cookie_path: autologin_cookie_secure: true
過去に利用したユーザアカウントやパスワード情報を非表示(autocomplete機能をoff)
-
- redmine/app/views/account/login.html.erbの下記を変更
<%= text_field_tag 'username', params[:username], :tabindex => '1' %> ↓ <%= text_field_tag 'username', params[:username], :tabindex => '1', :autocomplete => "off" %>
<%= password_field_tag 'password', nil, :tabindex => '2' %> ↓ <%= password_field_tag 'password', nil, :tabindex => '2', :autocomplete => "off" %>
-
- redmine/app/views/account/register.html.erbの下記を変更
<p><%= f.text_field :login, :size => 25, :required => true %></p> ↓ <p><%= f.text_field :login, :size => 25, :required => true, :autocomplete => "off" %></p>
<p><%= f.password_field :password, :size => 25, :required => true %> ↓ <p><%= f.password_field :password, :size => 25, :required => true, :autocomplete => "off" %>
<p><%= f.password_field :password_confirmation, :size => 25, :required => true %></p> ↓ <p><%= f.password_field :password_confirmation, :size => 25, :required => true, :autocomplete => "off" %></p>
<p><%= f.text_field :firstname, :required => true %></p> ↓ <p><%= f.text_field :firstname, :required => true, :autocomplete => "off" %></p>
<p><%= f.text_field :lastname, :required => true %></p> ↓ <p><%= f.text_field :lastname, :required => true, :autocomplete => "off" %></p>
<p><%= f.text_field :mail, :required => true %></p> ↓ <p><%= f.text_field :mail, :required => true, :autocomplete => "off" %></p>
<p><%= custom_field_tag_with_label :user, value %></p> ↓ <p><%= custom_field_tag_with_label :user, value, :autocomplete => "off" %></p>
redmineの認証有効期間等を短めに設定
-
- 認証が必要を選択
- 有効期間の最大値を「1日」に設定
- 無操作タイムアウトを12時間に設定
(技術開発部 林經正)