我们计划将SVN服务器从LAN迁移到Internet。
我们需要说服我们的管理层,我们的设置足够安全。
是否有SVN服务器安全扫描工具来检查SVN服务器的安全级别?
感谢。我们正在使用Windows。
答案 0 :(得分:1)
您没有指定打算如何保护SVN服务器。
使用svnserve + SSH://
没有工具可以完全验证安全性。您需要使用经过验证的技术进行设置。
[...几乎肯定属于serverfault:SVN+SSH Security]
答案 1 :(得分:1)
使用Nessus或OpenVAS(Nessus的更免费版本),可以轻松测试服务器上运行的所有守护进程(如ssh,Apache或SVN)的已知漏洞。加载Nessus或OpenVAS,将目标设置为SVN服务器并启用所有插件。应该花大约15分钟,它会给你一个详细的报告。
在开放互联网上使用SVN的最安全方式是使用svn + ssh并使用SSH密钥而不是密码进行身份验证。但是,这需要您为每个开发人员设置密钥。以纯文本形式在互联网上投掷用户名/密码和源代码是一个(!!!!)极其糟糕的想法(!!!!)。至少,您必须确保使用SVN + HTTPS和真实证书,每年花费约30美元。一起禁用http,您不希望开发人员通过HTTP意外连接。
答案 2 :(得分:0)
您可以尝试使用Google进行搜索,例如:
如果你最后得到这样的匹配:
/。SVN /全wcprops
这意味着Apache没有配置为至少让人们检查你的存储库。这可能是通过apache而不是svn检查安全性故障的工具。希望我一直很有帮助。
很容易修复你的apache conf:
# Disallow browsing of Subversion working copy administrative dirs.
<DirectoryMatch "^/.*/\.svn/">
Order deny,allow
Deny from all
</DirectoryMatch>