...
Резервное копирование виртуальных машин должно включать в себя копии дампов БД, которые должны формироваться до того, как проводится процедура бэкап
Управление доступом к административному интерфейсу
Поскольку WNAM представляет собой монолитное Java-приложение, то обработчик веб-интерфейса администратора ("административный веб-интерфейс"), личный кабинет клиента/менеджера подразделения, и интерфейс авторизующегося гостевого клиента де-факто работают внутри одного процесса. Для того, чтобы разделить возможность доступа разным категориям пользователей этого интерфейса с точки зрения безопасности, наиболее оптимальным сценарием является:
Вынос роли веб-сервера на отдельную виртуальную машину
Установку на ней SSL-сертификата, обеспечивающего, в конечном счете, шифрование передаваемого трафика управления системой
Настройку разграничения доступа к различным разделам интерфейса путем тонкой настройки конфигурационного файла nginx.
Применяемые в системе пути (ссылки) группированы следующий образом:
| Путь | Назначение |
|---|---|
/images/ /css/ /js/ /fonts/ | Общие файлы |
| /cp/ | Интерфейс авторизующегося гостевого клиента |
| /wnam/ | Интерфейс администратора системы |
| /lk/ | Интерфейс личного кабинета менеджера клиента/подразделения |
Таким образом, целесообразно разрешить доступ к административному интерфейсу системы только с тех IP-адресов, в которых находятся АРМ администраторов этой системы, используя такой конфигурационный файл (/etc/nginx/sites-available/wnam):
server {
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
ssl_certificate /etc/nginx/cert/fullchain_2023.crt;
ssl_certificate_key /etc/nginx/cert/key2023.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;ssl_dhparam /etc/ssl/certs/dhparam.pem;root /var/www/html;
index index.html;
server_name wifi.provider.ru;
client_header_buffer_size 16k;
large_client_header_buffers 2 16k;location / {
proxy_pass http://127.0.0.1:8080/;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_read_timeout 300;
proxy_connect_timeout 300;proxy_buffer_size 16k;
proxy_buffers 4 16k;
proxy_busy_buffers_size 16k;
client_body_buffer_size 16K;
client_max_body_size 8m;}location /wnam/ {
proxy_pass http://127.0.0.1:8080/wnam/;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_read_timeout 300;
proxy_connect_timeout 300;allow 127.0.0.1; # internal page contructor
allow 192.168.199.0/24; # администраторы офис
allow 234.56.78.90; # админ василий пупкин, из дома
deny all;client_max_body_size 20M;
}}