1.6 KiB
Datarekisteri – Datat RY:n jäsenrekisteri
Datayhdistyksen jäsenrekisterin lähdekoodi. Tavoitteena on saada
mahdollisimman paljon toiminnallisuudesta abstraktoitua ja siirrettyä rekisteri:iin.
Käänteisen välityspalvelimen asetukset
Käänteisen välityspalvelimen pitäisi määritellä CSP estämään kaikkien skriptien ajaminen, koska datarekisterin ei tarvitse ajaa koodia käyttäjän laitteella. Content-Type-Options estää selaimia tulkitsemasta tiedostoja virheellisesti skripteiksi tai tyylitiedostoiksi.
Content-Security-Policy: default-src 'self'; scrip-src 'none'; object-src 'none' X-Content-Type-Options: nosniff
Käänteisen välityspalvelimen pitää myös pakottaa kaikki liikenne kulkemaan https:n yli uudelleenohjaamalla kaikki http-kyselyt ja asettamalla Strict-Transport-Security otsikon.
Palvelunestohyökkäyksiltä suojautuminen
Datarekisteri ei vielä tee itse mitään palvelunestohyökkäysten
varalta. Määritä vähintään jokin nopeusrajoitus kyselyille. Alla oleva
esimerkki rajoittaa tcp-yhteyksien avaamisnopeutta. Kannattaa lisätä
jokin oikoreitti palvelimelle itselleen, esim.
$ iptables -A INPUT -s 127.0.0.1 -j ACCEPT ennen
nopeusrajoitusta.
$ iptables -A INPUT -p tcp -m tcp --syn -m hashlimit \ --hashlimit-upto 10/sec --hashlimit-burst 10 --hashlimit-mode srcip,dstport \ --hashlimit-name conn-srcip-dport-rate-limit -j ACCEPT
Kopiointi
Saat käyttää tätä ohjelmaa ja lähdekoodia AGPL-lisenssin version 3 tai minkä tahansa myöhemmän Free Software Foundationin julkaiseman version ehdoilla.