Alan adları, panel güncellemeleri ve temel web sunucusu yapılandırması¶
Alan adları¶
Birçok organizasyon, genelde, web uygulamaları, kapsamlı bir organizasyon alanının alt alanlarına yerleştirir. Kullanıcıların openstack.example.org şeklinde bir alanı beklemesi doğaldır. Bu bağlamda, genellikle aynı ikinci düzey alan alanına dağıtılan uygulamalar vardır. Bu isim yapısı kullanışlıdır ve isim sunucusu bakımını basitleştirir.
Herhangi bir seviyenin paylaşılan bir alt alanına, örneğin https://example.com gibi bir panel yerleştirmek yerine, panelin ikinci düzey bir alana, örneğin https://openstack.example.org veya https://horizon.openstack.example.org gibi bir alanda yayına alınmasını şiddetle öneririz. Ayrıca, https://horizon/ gibi çıplak iç alanlara yayına alınmasına da karşıyız. Bu öneriler tarayıcıların aynı menşei politikasının kısıtlamalarına dayanmaktadır.
Bu kılavuzda verilen öneriler, kullanıcı tarafından oluşturulan içeriği de barındıracak bir alanda, bu içerik ayrı bir alt etki alanında bulunsa bile gösterge tablosunu yerleştirirseniz, bilinen saldırılara karşı etkili bir şekilde koruma sağlayamaz. Kullanıcı tarafından oluşturulan içerik, komut dosyaları, resimler veya herhangi bir türden yüklemeler içerebilir. googleusercontent.com, fbcdn.com, github.io ve twimg.co dahil çoğu büyük web varlığı, kullanıcı tarafından oluşturulan içeriği çerezlerden ve güvenlik belirteçlerinden ayırmak için bu yaklaşımı kullanır.
İkinci düzey alanlarla ilgili bu öneriyi takip etmiyorsanız, çerez destekli bir oturum deposundan kaçının ve HTTP Sıkı Taşıma Güvenliği (HSTS) kullanın. Bir alt alana dağıtıldığında, gösterge tablosunun güvenliği, aynı ikinci düzey alana yerleştirilen en az güvenli uygulama ile eşdeğerdir.
Temel web sunucusu yapılandırması¶
Panel, Apache veya Nginx gibi bir HTTPS vekilinin arkasında bir Web Hizmetleri Ağ Geçidi Arabirimi (WSGI) uygulaması olarak yayına alınmalıdır. Apache kullanılmıyorsa, term:Nginx öneriyoruz:hafif ve doğru şekilde yapılandırılması daha kolaydır.
Nginx kullanırken gunicorn WSGI sunucusuna uygun senkron işçi sayısıyla öneririz. Apache’yi kullanırken, paneli barındırmak için mod_wsgi öneririz.
İzin verilen makineler¶
ALLOWED_HOSTS ayarını, OpenStack paneli tarafından sunulan tam nitelikli ana makine(lar) ile yapılandırın. Bu ayar sağlandıktan sonra, gelen bir HTTP isteğinin “Host:” başlığındaki değer bu listedeki herhangi bir değerle eşleşmiyorsa hata oluşur ve istekte bulunamaz. Bu seçeneği yapılandırmadığınızda veya belirtilen ana bilgisayar adlarında joker karakter kullanıldığında, panelin sahte HTTP Host üstbilgileriyle ilişkili güvenlik açıklarına karşı savunmasız kalmasına neden olur.
Daha fazla detay için, Django belgelendirmesine <https://docs.djangoproject.com/> bakın_.
Horizon resim yükleme¶
We recommend that implementers disable HORIZON_IMAGES_ALLOW_UPLOAD unless they have implemented a plan to prevent resource exhaustion and denial of service.
