Artifactory制品庫的密碼管理及策略配置密碼安全管理JFrog Access 服務Access相關配置完成配置一個樣例

發布時間：2023-07-03 11:45:56 作者：網友整理

密碼安全管理

通常我們在企業內部對平臺帳號進行管理時，安全團隊都會對我們的帳號體系有一定要求。

通常情況下有以下幾點：

l 密碼設定的要求，比如密碼的長度，復雜度。

l 密碼管理的要求，如密碼過期時間，錯誤嘗試次數等等。

l 密碼安全的的要求，比如密碼是否加密。

JFrog Access 服務

本篇文章就為您介紹一下Artifactory的帳號管理體系如何設定以上規則，對于使用Artifactory制品庫的公司來說，這是一項必須要了解的內容。

那么說到Artifactory的帳號管理體系，就要給大家介紹一下JFrog Access，它JFrog產品中的一項服務，作用是在后臺管理所有JFrog服務的身份驗證和授權的相關事務。Artifactory中任何配置的所有用戶，組，權限和密碼，都有這項服務來管理和存儲。JFrog Access作為JFrog Artifactory安裝的組成部分，Access服務將作為單獨的WAR文件安裝在 $ARTIFACTORY_HOME/webApps 文件夾下。

Access相關配置

那么根據對Access的服務所承擔的工作來說，我們的密碼規則配置，也自然是由這項服務來管理。

對我們當前已經運行的服務來說Access的配置文件，對于Artifactory 6.x的版本來說，文件存儲在$ARTIFACTORY_HOME/access/etc目錄下，如果是Artifactory 7.x的版本，文件存儲在$JFROG_HOME/artifactory/var/etc/access目錄下，文件名為：access.config.latest.yml

該文件中與密碼安全性相關的配置項如下：

security:

password-policy: # users' password policy (用戶的密碼策略)

uppercase: 0 # minimum number of uppercase letters that the password must contain (密碼必須包含的最小小寫字母數)

lowercase: 0 # minimum number of lowercase letters that the password must contain (密碼必須包含的最小大寫字母數)

digit: 0 # minimum number of digits that the password must contain (密碼必須包含的最小數字數)

length: 4 # minimum length of the password (密碼最小長度)

not-match-old: true # should access allow setting a new password to the same one currently set for the user (禁止與新舊密碼相同)

user-lock-policy:

attempts: 0 # number of failed login attempts to allow before locking a user. 0 (default) means the feature is disabled (鎖定用戶之前允許的失敗登錄嘗試次數)

seconds-to-unlock: 0 # number of seconds to wait before re-enabling login for a user that has been locked out (為已鎖定的用戶重新啟用登錄之前等待的秒數)

password-expiry-days: 0 # number of days before a password expires. Set by Artifactory (密碼過期)

admin-password-expirable: false # does the access admin password expire (訪問管理員密碼是否過期)

audit:

enabled: true # should access log all requests to a specific file or not (是否應訪問將所有請求記錄到指定文件)

password-strength: 8 # bcrypt password strength. A higher value means better security, but password verification will be slower (密碼加密強度，更高的值意味著更好的安全性，但是密碼驗證會慢一些)

local-interfaces-expire-in-seconds: 60 * 10 # number of seconds for which local server ips should be cached for users’ allowed-ips (用戶允許的IP緩存本地服務器IP的秒數)

encryption-enabled: true # specifies if users’ custom data encryption is allowed (指定是否允許用戶的自定義數據加密)