概要
目的
Redmineを外部アクセス可能な状態で運用するときにBasic認証やRedmineの認証必須設定をしない事に関する注意喚起と対策について
経緯
- Redmineをインスコ完了後、タスクバーにある「チケット」ボタン押下で404となった
- 対策を検索する
- 検索結果に偶然見て良いのかわからないチケットが多数見つかる
- 検索結果に出てくるのはよくないと思ってコレを書くことにしました
事例(デメリット)
なんかこんな感じの、 あかんやつ があった気がします。
- ある会社:サービスについての情報公開
- ある団体:研究について公開
- 他多数
対策
では、「どうすればおまえはいいと思ってるの?」という事に関して。
取り敢えずの対応
以下どちらかを使ってれば最低限いいんじゃないですか、不正な方法を使わないとアクセスできなくなるだろうし。
- Redmineの認証必須設定
- RedmineのBasic認証設定
外部に公開する意味を今一度考える
きちんと利用方法を考え選択してみてはいかがでしょう。なんとなく導入して情報漏洩なんて笑えません。
- 例:社外からのアクセスが必須
- 仕方が無い理由がある
- 協力会社さんとの連係に必須
- 自宅作業OKなどでIPが定まっていない
- 海外に発注してたりしてIPに制限がかけられない
- 打ち合わせでよく社外に居る
- 仕方が無い理由がある
- 例:物理的に社内限定公開のサーバーが設置できない
- 例:利用者が情報弱者
- おじさま/おばさまが、利用する場合などで認証をかけると使えない
- 例:その他何らかのシステム的な理由
Redmineを選ぶ理由を今一度考える
自身で管理して・・・というのは工数が掛かると思います。
自身で管理して得られるメリット(経験値,カスタマイズ性等)は魅力的ですが、
Redmineを選ばなければならない理由を今一度考えてみてはいかがでしょうか
- 例:契約的な制限
- 例:予算的な制限
- 例:Redmineを使ってきた歴史が長い
- 例:社内事情(Redmine推進派が台頭してる等)
- 例:敢えて公開して迷い込んだ人を釣る
じゃ、おまえだったらRedmine使うときどうしてるの?
だいたい以下をおこなってます。(できれば)
- Redmineを選ぶことになった経緯をメモる
- 例えば「予算」が原因だったなら予算に余裕がでたときに別サービスを検討するため。
- Basic認証設定ON
- Redmineの認証必須設定ON
- 新規登録は管理者が手動で登録
- 適切なプロジェクトの閲覧設定
- 社内サーバーに導入して社外からアクセスできないようにする(可能であれば)
- IPを制限(可能であれば)
- Redmineを公開するポートを80じゃないのにする(可能であれば)
- 定期的に登録者アカウントの棚卸し(出入りが激しければ)
- 退職者が出たとき社外からアクセス可の状態であれば、Basic認証やポートの設定を見直す
最後に。
検索結果に出てくるのはよくないと思いました。(こなみかん
他に何かこれも考えた方がいいよ!というのがありましたら、教えて下さい