セキュリティ¶
一般的な勧告¶
- デフォルトのユーザー名/パスワードの変更を忘れないようにしてください。
data
ディレクトリへはURLから誰でもアクセス出来るようにしないでください。Apacheのための.htaccess
ファイルと、IISのためのweb.config
が含まれますが、それ以外のwebサーバーには手動で設定しなければなりません。
ご用心
- WebUIからのプラグインのインストールはデフォルトで無効にされています。
- これはコードレビュー、あるいはいかなる承認プロセスも無くプラグインを適用します。
- プラグインが正当性を確認するのはKanboardのインスタンスの所有者です。
ドキュメントルート外へのインストール¶
Kanboard をwebサーバーのドキュメントルートの外にインストールしたい場合、少なくともこれらのシンボリックリンクが必要です。
.
├── assets -> ../kanboard/assets
├── cli -> ../kanboard/cli
├── favicon.ico -> ../kanboard/favicon.ico
├── index.php -> ../kanboard/index.php
├── jsonrpc.php -> ../kanboard/jsonrpc.php
└── robots.txt -> ../kanboard/robots.txt
``.htaccess`` の内容をApacheの設定の中に直接含めることもできるので、.htaccess ファイルは任意です。
また、設定ファイルを変更することで、プラグインとファイルのフォルダの場所を変更することもできます。
ご用心
いくつかのプラグインは document root以下にインストールされることを要求する可能性があります。
総当たり攻撃からの保護¶
Kanboardの総当たり攻撃からの保護はユーザーアカウントのレベルで働きます:
- 同一ユーザー名で3回認証に失敗した後は、自動botへの対策でログインフォームにcaptcha画像が表示されます。
- 6回認証に失敗した後は、15分間アカウントがロックされます。
この機能は認証方法にログインフォームを使用している場合のみに作動します。
しかし、 ユーザーAPIを通して3回認証に失敗した後は、 ログインフォームを使用することでアカウントのロックを解除しなければなりません。
Botは複数の匿名プロキシを使用できるので、KanboardはいかなるIPアドレスもブロックしません。しかしながら、大規模なスキャンを防ぐために fail2ban のような外部ツールを使用できます。
デフォルトの設定はこれらの設定変数で変更できます:
// 3 回認証に失敗した場合にcaptcha認証を行う
define('BRUTEFORCE_CAPTCHA', 3);
// 6回認証に失敗した後はアカウントをロックする
define('BRUTEFORCE_LOCKDOWN', 6);
// アカウントのロック期間(分)
define('BRUTEFORCE_LOCKDOWN_DURATION', 15);
15分も待てない場合、ユーザーインターフェースからロックを解除することができます。管理者は当該ユーザーのプロフィールを開いて “Unlock this user” をクリックしてください。