一、漏洞描述

某次安全扫描，发现某平台存在资源：未授权访问和源码泄漏；攻击者可能获取到网站的配置文件、敏感数据存储位置和访问凭证等信息。这意味着攻击者可以获得对网站的完全或部分控制权，进而进行恶意篡改、删除或添加恶意代码，破坏网站的正常运行、导致数据丢失、影响用户访问或利用网站进行其他不法行为。

处理：该资源接口进行鉴权设置，禁止公网未授权直接访问。

二、SSO服务器

SSO（Single Sign On）是实现在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统；尤其在大型企业和政府部门等电子化系统办公场景中，一般办公系统会由多个不同的子系统构成，如果这些子系统直接暴漏，缺乏鉴权，就会出现上述的漏洞风险，那如何保证安全又不影响子系统业务交互呢？这个时候有一个SSO 单点登录就显得尤为重要了。但是注意，过多引入第三方SSO框架会让我们的异常错误可能出现：不在自己可控制的范围内的情况，可能不利于提高项目的健壮性及可持续发展。流程示意如下：

1）SSO建设选择

常用的13个开源免费单点登录SSO系统：

• sa-token - 一个轻量级 Java 权限认证框架，让鉴权变得简单、优雅！
• authelia - 是一个免费、开源、可私有化部署的单点登录（SSO）项目
• BootstrapAdmin - 基于 RBAC 的 Net7 后台管理框架，权限管理，前后台分离，支持多站点单点登录，兼容所有主流浏览器
• JustAuth - 如你所见，它仅仅是一个第三方授权登录的工具类库
• MaxKey - 单点登录认证系统
• jap - 一款开源的登录认证中间件，基于模块化设计，为所有需要登录认证的web应用提供一套标准的技术解决方案
• eiam - 数字身份管控平台
• CollectiveOAuth - 史上最全的整合第三方登录的开源库
• Netnr.Login - 第三方 OAuth2 授权登录管理
• keycloak - 是一个免费、开源身份认证和访问管理系统
• SD.IdentitySystem - 统一身份认证/权限管理/角色管理/菜单管理/SSO/License授权
• IdentityServer4 - 基于.NET 5+IdentityServer4+Vue+Sqlserver 的统一授权认证系统
• cas - 是一个开源的企业级单点登录系统

2）Apereo CAS系统：

Apereo CAS是一个开源的企业级单点登录系统，是CAS项目的一部分。Apereo CAS开箱即用，并且提供多种协议支持，如：CAS（v1，v2和v3）、SAML（1.0和2.0）、OAuth（v2）、OpenID、OpenID Connect等，Apereo CAS支持使用多种身份证方法，包括：JAAS、LDAP、RDBMS、Radius、JWT等。Apereo CAS支持通过Due、YubiKey、RSA、Google Authenticator、U2F、WebAuten等进行身份验证。

相关资源：Github、官网、文档

1> 架构图

3）Keycloak

Keycloak是一个免费、开源身份认证和访问管理系统，支持高度可配置的单点登录（SSO）功能，旨在为现代的应用程序和服务，提供包含身份管理和访问管理功能的单点登录工具。Keycloak内置支持连接到现有的LDAP或Active Directory服务器。也可以自己实现与关系数据库中的用户数据对接。

Keycloak支持许多目前比较流行认证标准协议，如：OpenID Connect，OAuth 2.0、SAML 2.0等。它还支持多平台多种语言：Java、Python、Go、Node.js、Spring、Quarkus ，同时还有 CLI 、SDK 和 RESTful API。

相关资源：GitHUB、官网、

1> 安装

#docker方式部署，完成后，可以访问 http://localhost:8080 进行测试，用户名/密码：admin/admin
docker run -p 8080:8080 -e KEYCLOAK_ADMIN=admin -e KEYCLOAK_ADMIN_PASSWORD=admin -d quay.io/keycloak/keycloak:18.0.0 start-dev

2>配置keycloak

登陆keycloak 管理控制台，创建一个租户：在 keycloak 中，一个 realm 相当于一个租户，它允许创建独立的应用程序和用户组。master 是keycloak 中默认的 realm，master 是专用于管理 keycloak的，不建议用于自己的应用程序。要应用于自己的应用程序时，一般最好建立一个自己指定名称的 realm，在master下面单机 Add realm创建。

在新创建的 realm 中创建一个user：

保存成功后，设置初始密码，点击 Credentials，其中Temporary 处点击为 OFF，完成密码重置。

完成后，配置要单点的应用程序。Keycloak管理控制台Clients新建客户端： 用上面Keycloak 实例注册一个应用程序：

3>修改grafana配置：

编辑 /etc/grafana/grafana.ini，修改以下配置：

[server]
root_url = http://localhost:3000/
[auth.generic_oauth]
allow_sign_up = true
api_url = http://localhost:8080/realms/grafana/protocol/openid-connect/userinfo
auth_url = http://localhost:8080/realms/grafana/protocol/openid-connect/auth
client_id = grafana
client_secret = B1dllYApv88FHkkLQDqCwv2aRH5hHwoU
enabled = true
name = grafana
role_attribute_path = role
root_url = http://localhost:3000/
scopes = openid email
token_url = http://localhost:8080/realms/grafana/protocol/openid-connect/token

在 keycloak 中配置好正确的 用户名、密码 后，重新访问 grafana，就可以看到类似如下界面：

4）nginx密码限制访问

#安装 htpasswd 工具
yum -y install httpd-tools  #或npm install -g htpasswd
#如果报错：“error: unpacking of archive failed on file /usr/bin/xxxx: cpio: open Failed”，请检查/usr/bin目录是否设置特殊权限
chattr -i /usr/bin  #再次安装即可
which htpasswd  #/usr/bin/htpasswd
#htpasswd用法及参数
htpasswd [-cimB25dpsDv] [-C cost] [-r rounds] passwordfile username
htpasswd -b[cmB25dpsDv] [-C cost] [-r rounds] passwordfile username passwordhtpasswd -n[imB25dps] [-C cost] [-r rounds] usernamehtpasswd -nb[mB25dps] [-C cost] [-r rounds] username password-c  Create a new file.-n  Don't update file; display results on stdout.-b  Use the password from the command line rather than prompting for it.-i  Read password from stdin without verification (for script usage).-m  Force MD5 encryption of the password (default).-2  Force SHA-256 crypt() hash of the password (secure).-5  Force SHA-512 crypt() hash of the password (secure).-B  Force bcrypt aencryption of the password (very secure).-C  Set the computing time used for the bcrypt algorithm(higher is more secure but slower, default: 5, valid: 4 to 31).-r  Set the number of rounds used for the SHA-256, SHA-512 algorithms(higher is more secure but slower, default: 5000).-d  Force CRYPT encryption of the password (8 chars max, insecure).-s  Force SHA-1 encryption of the password (insecure).-p  Do not encrypt the password (plaintext, insecure).-D  Delete the specified user.-v  Verify password for the specified user.#创建认证用户 ，会在/etx/nginx/passwd.db文件中生成用户名和加密的密码，格式类似： admin:YlmaHlkJnzhxG
htpasswd -c lip_htpasswd.db admin //输入密码,生成的数据文件建议放入web运行目录，比如nginx配置文件目录下，注意这种交互式输入密码可能会出现配置无效的情况，报错如下：
htpasswd后{"message": "invalid username or password","traceID":""}
#用一下命令重新生成,注意-d采用,因Nginx采用解密，如果不兼容，即使能看到了 Auth 提示,但当输入了正确的密码,也会收到 403或401,500,400等错误。
htpasswd -cbd lip_htpasswd.db admin password #用 crypt()函数加密，但密码不能超狗8位；或
openssl passwd -crypt "password"  #nginx的ngx_http_auth_basic_module可以帮助我们在 http 资源没有任何保护的情况下，添加基础的认证；修改配置，增加： auth_basic 和 auth_basic_user_file 
vim /usr/local/nginx/conf/nginx.conf 
……
server { 
listen 80; 
server_name local.server.com;
#auth_basic "Please input password"; #这里是验证时的提示信息
#auth_basic_user_file /usr/local/nginx/conf/third_htpasswd.db;
location / { root /data/www; #或如下auth_basic "Please input password"; #这里是验证时的提示信息auth_basic_user_file /usr/local/nginx/conf/third_htpasswd.db;index index.html; rewrite ^/$  https://new_uri permanent;} 
location /public {
proxy_buffering on;proxy_buffer_size 4k;proxy_buffers 8 4M;proxy_busy_buffers_size 4M;# websocket处理proxy_http_version 1.1;proxy_set_header Upgrade $http_upgrade;proxy_set_header Connection "upgrade";proxy_set_header X-Real-IP $remote_addr;add_header Access-Control-Allow-Origin *;add_header Access-Control-Allow-Methods GET,POST,OPTIONS;#add_header Access-Control-Allow-Credentials true;proxy_set_header Authorization "Bearer grafana_API_token";auth_basic "Please input password"; #这里是验证时的提示信息auth_basic_user_file third_htpasswd.db;proxy_pass http://grafana_ip:3000;}}
#重启nginx服务 
nginx -s reload#grafana配置调整
sed -i "s/;allow_embedding = false/allow_embedding = true/g" /etc/grafana/grafana.ini 
cat /etc/grafana/grafana.ini  | grep allow_embedding
systemctl restart grafana-server

Grafana配置新增服务账户API：

#验证
curl -H "Authorization: Bearer eyJrIjoiRnJjVmNURW1vdnlxQkdOTExqM29DcnJJV3g4TnQ0SEwiLCJuIjoid2Vidmlld2VyIiwiaWQiOjF9" http://grafana_ip:3000/api/dashboards/home
#防火墙
firewall-cmd --permanent --zone=public --remove-port=80/tcp
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address='你的网站ip' port port="80" protocol="tcp" accept'
firewall-cmd --reload
#配置主页，安装插件yesoreyeram-boomtheme-panel
grafana-cli plugins install yesoreyeram-boomtheme-panel  #或
grafana-cli --pluginUrl https://github.com/yesoreyeram/yesoreyeram-boomtheme-panel/releases/download/v0.2.1/yesoreyeram-boomtheme-panel-0.2.1.zip plugins install yesoreyeram-boomtheme-panel
cd /usr/share/grafana/public  #grafana插件位置

上面能添加外部CSS地址，地址栏输入：https://github.com/gilbN/theme.park/tree/master/CSS/themes/grafana或https://github.com/GilbN/theme.park/tree/master/css/theme-options就会看到多个CSS：

https://gilbn.github.io/theme.park/CSS/themes/grafana/hotline.css
https://gilbn.github.io/theme.park/CSS/themes/grafana/aquamarine.css
https://gilbn.github.io/theme.park/CSS/themes/grafana/organizr-dark.css
https://gilbn.github.io/theme.park/CSS/themes/grafana/organizr-dashboard.css
https://gilbn.github.io/theme.park/CSS/themes/grafana/plex.css
https://gilbn.github.io/theme.park/CSS/themes/grafana/space-gray.css

#优化css加载速度
wget https://gilbn.github.io/theme.park/CSS/themes/grafana/hotline.css
然后重新配置grafana的CSS，修改成本地的地址，比如：/public/css/hotline.css

三、SSO服务器配置

1）应用场景一

四、附录

4.1、常见文件属性回顾

属性	说明
i	对文件设置i属性，不允许对文件进行删除、重命名，也不能添加和修改数据。 对目录设置i属性，只能修改目录下文件中的数据，但不允许新建和删除文件。文件权限中，大写的 I 表示不可变属性，而小写的 i 表示不可变文件。不可变属性仅保护文件的特定属性，而不可变文件保护整个文件。其中，不可变文件是不可变属性的一种更严格的形式。
a	对文件设置a属性，只能在文件中新增数据，但是不能删除和修改数据。 对目录设置a属性，只能在目录中新增和修改文件，但是不允许删除文件。
u	对文件或目录设置u属性，在删除时，其内容会被保存，以保证后期能够恢复，一般用来防止意外删除文件或目录。
s	对文件或目录设置s属性，在删除文件或目录时，会被彻底删除，不可恢复。
e	Linux中绝大多数的文件都默认拥有e属性，表示该文件是使用ext文件系统进行存储的。
大写i	标记文件或目录的某些属性为不可变，防止意外更改。仅当文件或目录的所属用户具有超级用户权限时，才能更改不可变属性。典型的不可变属性包括：a（存档位）c（压缩位）t（尾部锁定位）S（安全不可变位）
t	t设置粘着位，一般针对权限是777的文件夹设置权限。如果文件设置了t权限则只有属主和root有删除文件的权限；777的目录设置t权限，索引用户可以在这个目录下面创建文件和删除自己创建的文件，删除其他人创建的文件权限不被允许（比如共享目录）
操作符	+：为文件或目录添加属性；-：移除文件或目录已有的某些属性；=：为文件或目录设定一些属性。