セキュリティ攻撃の防止
管理者はシステムごとに異なるパスワードを持つ必要があります。
強固なパスワードを選択するのと同様に、管理者はシステムごとに異なるパスワードを持つ必要があります。これにより、攻撃者がシステムのうちの1つの管理者の資格情報を取得できた場合でも、影響を減らすことができます。
Jira セキュリティ パッチを適用する
セキュリティ勧告で提供されている、ご利用の Jira のバージョン用にリリースされたパッチを適用します。これらのパッチは検出された最新の特権昇格や XSS の脆弱性から Jira を保護します。
ブルート フォース攻撃を防ぐ
ログインを何度も繰り返し試行する、ブルート フォース攻撃として知られるログイン攻撃からシステムを積極的に守ることもできます。
Web サーバーでブルート フォース ログイン 保護を有効にする
アプリケーション ログから繰り返し認証に失敗しているログを見つけることで、web サーバーでブルート フォース ログイン保護を有効にすることができます。繰り返しログインに失敗しているログを見つけたら、その特定の IP アドレスから web サーバーへのアクセスを自動的に禁止するようシステムをセットアップすることができます。
この種のログイン防止の自動的方法を設定する方法について詳細を知りたい場合は、「Fail2Ban を使用してログイン試行を制限する」 を参照してください。
アプリケーションの管理部門のネットワークアクセスを制限する
アトラシアン アプリケーションの管理インターフェイスは、同アプリケーションの重要な部分を占めています。これに対するアクセスを有する者であれば誰でも、アプリケーション インスタンスのみならずマシン全体を危険にさらしてしまう可能性があります。本当に必要とするユーザだけにアクセスを制限し、強力なパスワードを使用する以外 にも、ネットワークあるいはインターネット上の一部のマシンにアクセスを制限する事を検討する必要があります。
管理/重要操作へのアクセスを制限するため Apache のブロック ルールを実装する方法については以下を参照してください。
- Jira: 「Apache を使用して Jira 管理インターフェースへのアクセスを制限する」
- Confluence: 「Apache を使用して Confluence 管理インターフェースへのアクセスを制限する」
同様な手法を使用してすべてのアトラシアン アプリケーションを保護することができます。
アプリケーション サーバーによるファイル システム アクセスを制限する
アプリケーション サーバー (例:Tomcat) はシステム上で1つのプロセスとして動作します。このプロセスは特定のユーザーによって起動され、そのユーザーのファイルシステム権限を継承します。アプリケーション サーバー ユーザーが書き込み可能なディレクトリを制限することで、アプリケーションにファイルシステムを不必要に晒すことを制限できます。
Jira のアプリケーション サーバーが 以下のディレクトリのみへの書き込み権限を持つことを確認します。
- ご利用の Jira インストール ディレクトリの以下のサブディレクトリ
logstempwork
- ご利用の Jira ホーム ディレクトリ