安全信息

From Dolibarr ERP CRM Wiki
Jump to navigation Jump to search


Securite.png 警報

最後更新: 2024-02-19

發現了一個允許用戶獲取聯繫人列表(檢索數據庫中聯繫人的姓氏、名字和 ID)的漏洞。 已經在 18.0.1 及更高版本中修復。

注意:您還可以從 GitHub(https://github.com/Dolibarr/dolibarr/) 下載所有分支/版本的中間版本(尚未發布的維護包)

Art.png 安全特性

Dolibarr 實現了多種安全功能,以匹配與安全相關的最佳實踐規則。

以下是您可以找到的主要安全功能列表:


加密

  • 數據庫中保存的密碼或安全密鑰數據是加密之後的 [*7] [*8]
  • 數據庫技術密碼可以被偽裝到 Dolibarr configuration file (conf.php) [*8]文件中。
  • 可以強制使用 HTTPS [*9]
//conf/conf.php file
//example of $dolibarr_main_force_https  configuration
$dolibarr_main_force_https = '1';//to force https
Values Description

0

無強制重定向

1

強制重定向到 https,直到 response 中的 SCRIPT_URI 以 https 開頭

2

強制重定向到 https,直到 response 中的 SERVER[「HTTPS」] = 'on'

https://mydomain

強制重定向到 https 域名 mydomain(推薦方法)


黑客與駭客

  • 可使用 register_globals=on/off(強烈推薦使用off) [*2]
  • 可使用 PHP safe_mode=on/off (推薦使用on) [*3]
  • 在生產模式下可禁用任何技術信息泄漏,如調試、錯誤堆棧跟蹤、版本信息(請參閱 configuration file) [*6]
  • 防止 SQL 注入。受內部 WAF 保護,並通過單元測試檢查數據庫擒縱機制的良好。 [*2]
  • 防止 XSS 注入(Cross Site Scripting:跨站點腳本)。受內部 WAF 和網頁 headers 保護。 [*1]
  • 防止 SSRF。
  • 防止 CSRF(Cross Site Request Forgery:跨站點請求偽造)。受內部 WAF 和 token 系統保護。 [*5]

請注意,還建議通過禁用 Apache 選項來保護您的 Web 服務器

AcceptPathInfo Off


頁面與文件訪問

  • 頁面和內容受集中式入口代碼保護,以檢查權限(授予組或用戶的每個功能模塊) [*4] [*10]
  • Dolibarr 保存的文件存儲在與 Web 應用不同的 root 目錄中(因此,不通過 Dolibarr wrapper,就無法下載) [*3] [*10] 。 注意:您必須要核實 document 目錄(用於上傳文件)與 htdocs 目錄沒有位於同一目錄中,也不在 htdocs 的子目錄中。您的 Web 虛擬主機必須僅指向 htdocs 目錄(並且此目錄可以/應該處於只讀模式)。因此,如果不使用 wrapper 頁面,則無法下載任何上傳的文件(存儲在 document 目錄中)。
  • Dolibarr 目錄內容無法訪問,即使 Apache 的選項 Indexes 沒有被設置為 on(不應該忘記設置) [*3]


登錄保護

  • 反暴力破解的登錄頁面延遲 [*7] 。目前的延遲值是固定值(在未來版本中,嘗試登錄時可能會呈指數級增長)。
  • 登錄頁面上針對機器人的圖形代碼(CAPTCHA)選項 [*7]
  • 僅限制某些 IP 對後台的訪問 [*7]
  • 日誌中不記錄密碼,即使在技術日誌中也是如此 [*7]
  • 內部記錄器(logger)永久保存所有Dolibarr事件,包括有關用戶管理以及成功登錄、失敗登錄或管理事件(用戶、組、權限的變更)。
  • 可以在成功登錄或失敗登錄嘗試之後將日誌記錄輸出到日誌文件中(Debug Log模塊必須被啟用,在生產服務器上最低使用 5-LOG_NOTICE級別,在開發服務器上使用更高級別),以便您可以添加 fail2ban 規則來鎖定暴力破解。您可以使用以下語法檢查日誌記錄 :
"YYYY-MM-DD HH:MM:SS (ERROR|NOTICE|INFO|DEBUG)    IP functions_dolibarr::check_user_password_.* Authentication KO"

要添加到服務器的 fail2ban 規則列表在後面的 DOS 和暴力破解率緩解(DOS and Brute force rate Mitigation)一章中提供。

病毒

  • 可以對每個上傳的文件運行外部防病毒軟件 [*3]


安全信息中心

  • 從版本 14 開始,您將在菜單 主頁 - 管理工具 - 安全(Home - Admin tools - Security) 中找到一個安全信息中心,其顯示與當前安裝相關的已完成和待完成的所有安全建議。


用於安全性的 CTI

持續集成平台對每次修改代碼運行安全單元測試和靜態代碼分析。


每個版本的footprint

我們的發布流程為每個版本提供了一個 footprint 文件(也可在線獲取),以驗證本地安裝的所有文件。

注意:Dolibarr 符合 OpenSourceSSF 定義的 Best Practices(最佳實踐) : https://bestpractices.coreinfrastructure.org/projects/5521


DOS 和暴力破解率緩解

該項目提供了一些 fail2ban 規則的示例,以阻止登錄頁面、忘記密碼頁面和任何公共頁面上的暴力嘗試或濫用訪問。參見 https://github.com/Dolibarr/dolibarr/tree/develop/dev/setup/fail2ban

Art.png 報告安全漏洞

在大多數情況下,安全報告會在幾天內被處理。



(*X) 此解決方案是用於解決 OWASP Top Ten 分類的漏洞(範圍為 X 的)保護的一部分。