ITPub博客

首页 > 自动化运维 > DevOps > Artifactory制品库的密码管理及策略配置

Artifactory制品库的密码管理及策略配置

原创 DevOps 作者:JFrog杰蛙科技 时间:2020-09-28 16:53:31 0 删除 编辑

密码安全管理

通常我们在企业内部对平台帐号进行管理时,安全团队都会对我们的帐号体系有一定要求。

通常情况下有以下几点:

密码设定的要求,比如密码的长度,复杂度。

密码管理的要求,如密码过期时间,错误尝试次数等等。

密码安全的的要求,比如密码是否加密。

JFrog Access 服务

本篇文章就为您介绍一下Artifactory 的帐号管理体系如何设定以上规则,对于使用 Artifactory 制品库的公司来说,这是一项必须要了解的内容。

那么说到Artifactory 的帐号管理体系,就要给大家介绍一下 JFrog Access ,它 JFrog 产品中的一项服务,作用是在后台管理所有 JFrog 服务的身份验证和授权的相关事务。 Artifactory 中任何配置的所有用户,组,权限和密码,都有这项服务来管理和存储。 JFrog  Access 作为JFrog Artifactory 安装的组成部分, Access 服务将作为单独的 WAR 文件安装在   $ARTIFACTORY_HOME/webapps 文件夹下。

Access 相关配置

那么根据 Access 的服务所承担的工作来说,我们的密码规则配置,也自然是由这项服务来管理。

对我们当前已经运行的服务来说Access 的配置文件,对于 Artifactory 6.x 的版本来说,文件存储在 $ARTIFACTORY_HOME/access/etc 目录下,如果是 Artifactory 7.x 的版本,文件存储在 $ JFROG_HOME/artifactory/var/etc/access 目录下,文件名为: access.config.latest.yml

该文件中与密码安全性相关的配置项如下:  

security:

    password-policy:    # users' password policy ( 用户的密码策略 )

        uppercase: 0      # minimum number of uppercase letters that the password must contain ( 密码必须包含的最小小写字母数 )

        lowercase: 0      # minimum number of lowercase letters that the password must contain ( 密码必须包含的最小大写字母数 )

        digit: 0          # minimum number of digits that the password must contain ( 密码必须包含的最小数字数 )

        length: 4         # minimum length of the password ( 密码最小长度 )

        not-match-old: true # should access allow setting a new password to the same one currently set for the user ( 禁止与新旧密码相同 )

    user-lock-policy:

        attempts: 0                     # number of failed login attempts to allow before locking a user. 0 (default) means the feature is disabled ( 锁定用户之前允许的失败登录尝试次数 )

        seconds-to-unlock: 0            # number of seconds to wait before re-enabling login for a user that has been locked out ( 为已锁定的用户重新启用登录之前等待的秒数 )

        password-expiry-days: 0         # number of days before a password expires. Set by Artifactory ( 密码过期 )

        admin-password-expirable: false # does the access admin password expire ( 访问管理员密码是否过期 )

    audit:

        enabled: true           # should access log all requests to a specific file or not ( 是否应访问将所有请求记录到指定文件 )

        password-strength: 8      # bcrypt password strength. A higher value means better security, but password verification will be slower ( 密码加密强度,更高的值意味着更好的安全性,但是密码验证会慢一些 )

        local-interfaces-expire-in-seconds: 60 * 10 # number of seconds for which local server ips should be cached for users allowed-ips ( 用户允许的 IP 缓存本地服务器 IP 的秒数 )

        encryption-enabled: true  # specifies if users custom data encryption is allowed ( 指定是否允许用户的自定义数据加密 )

完成配置一个样例

仅仅展示参数可能不是很直观,我们现在就来定一个规则,并且把配置内容完成一遍。

要求密码长度大于 1 2 位,包含大小写字母与数字,新旧密码不能相同。登录 5 次失败后锁定,锁定时间 3 0 秒,密码 到期时间9 0 天。具体配置如下图所示:


更多 Access 文件的相关配置可以参考我们 JFrog 官方 Wiki 链接。

https://www.jfrog.com/confluence/display/ACC1X/YAML+Configuration+File


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/69954434/viewspace-2724864/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2019-11-15

  • 博文量
    64
  • 访问量
    28064