本修复包重点解决了两方面的安全问题:从产品角度解决弱口令登录密码问题及二次开发安全设置。请在升级3月修复包前仔细阅读。
一、解决弱口令登录密码 1、增加密码强度验证功能。如果设置的密码不符合密码强度,则系统要求强制修改。 注意:此补丁包只适用于解决用户名+密码登录验证弱口令问题,不适用其他登录方式(AD/LDAP,身份认证狗等) (1)登录系统管理员账号,在“启动密码强度验证”中设置密码强度,默认是“中等” (2)在用户登录时会验证用户当前登录密码的强度,当密码强度小于系统设定的密码强度时,会提示用户修改密码,提示界面如下图所示 高危操作:如果客户做了大量基于弱口令的二次开发且不愿改变的话,临时可以通过配置“插件参数设置”的webservice.weakpassword.enabled设置为1(允许)保持访问,但建议修改二开中的口令,否则需自行承担所引起的安全风险。 (2)点击“确定”按钮进入密码修改界面 二、二次开发安全设置 1、没有做二次开发的,打上补丁不需要做其他操作; 2、使用了Webservice进行二次开发,打上补丁,请使用SeeyonConfig配置工具,将“插件参数设置”: webservice.enabled 设置为1(启用) webservice.password 设置密码(不要使用弱口令) 3、客开的代码必须按照新的密码进行访问,否则无法调用 4、不能使用123456和空密码等弱口令,否则仍无法调用 5、如果需要更高的安全性,请将调用SOAP Webservice和单点登录的服务器IP地址加到“外部信任地址”中,并勾选“是否启用信任地址功能”,只允许指定IP调用。 请参照下图进行设置 2、增加密码过期时,密码是否需强制修改功能。 (1)登录系统管理员账号,设置“密码过期强制修改”,当选择为“是”时,密码过期以后,将提示用户“密码已过期,请及时修改” (4)当用户所修改的密码不符合当前系统设定的密码强度时,则不允许保存 (3)此时用户需进入密码修改页面进行密码修改 |