我們計劃將我們的SVN服務器從局域網遷移到互聯網。SVN服務器安全掃描工具
我們需要說服我們的管理層,我們的設置足夠安全。
有沒有SVN服務器安全掃描工具,來檢查我們的SVN服務器的安全級別?
謝謝。我們正在使用Windows。
我們計劃將我們的SVN服務器從局域網遷移到互聯網。SVN服務器安全掃描工具
我們需要說服我們的管理層,我們的設置足夠安全。
有沒有SVN服務器安全掃描工具,來檢查我們的SVN服務器的安全級別?
謝謝。我們正在使用Windows。
像ssh,Apache或SVN)。加載Nessus或OpenVAS,將目標設置爲您的SVN服務器並啓用所有插件。大約需要15分鐘,它會給你一個詳細的報告。
通過開放的互聯網使用SVN的最安全的方式是svn + ssh並使用SSH密鑰而不是密碼進行身份驗證。但是,這需要您爲每個開發人員設置密鑰。以純文本形式通過互聯網輸入用戶名/密碼和源代碼是(!!!!)EXTREMELY(!!!!)不好主意。至少你必須確保你使用SVN + HTTPS和真正的證書,這將花費你每年30美元。一起禁用http,你不希望開發人員通過HTTP意外連接。
你沒有指定你打算如何保護你的SVN服務器。
使用svnserve + SSH://
沒有工具將完全驗證的安全性。您需要使用久經考驗的技術進行設置。
[...而且幾乎可以肯定屬於對serverfault:SVN+SSH Security]使用Nessus的或OpenVAS(的Nessus的更多免費版),很容易測試已知漏洞的所有守護進程運行在服務器上(
您可以嘗試使用谷歌和做搜索,例如:
的allinurl:「全wcprops在」 inurl:「yoururlhere」
如果然後在最後獲得比賽是這樣的:
/.svn/all-wcprops
這意味着Apache未配置爲至少讓人們檢查您的存儲庫。這可能是通過apache而不是svn檢查安全失敗的工具。希望我一直有幫助。
很容易在Apache的conf來解決:
# Disallow browsing of Subversion working copy administrative dirs.
<DirectoryMatch "^/.*/\.svn/">
Order deny,allow
Deny from all
</DirectoryMatch>