jvmtech / neos-hardening

强化请求头、登录界面和密码,以增强后端安全性。

维护者

详细信息

github.com/jvm-tech/JvMTECH.NeosHardening

源代码

问题

安装数: 9,260

依赖项: 0

建议者: 0

安全: 0

星标: 3

关注者: 2

分支: 1

公开问题: 2

类型:neos-package

1.0.4 2023-08-15 12:44 UTC

Requires

MIT b3a8c7fb84e00356a4d44fe49fb5dbc046768fc1

This package is auto-updated.

Last update: 2024-08-25 13:39:44 UTC

README

Latest Stable Version License

强化请求头、登录界面和密码,以增强后端安全性。

安装

composer require jvmtech/neos-hardening

默认激活

  • 从请求头中移除Neos版本信息 *
  • 设置最小密码强度要求

可选功能

  • 将默认登录URL "/neos" 更改为类似 "/neos-random-suffix" 的内容 *
    JvMTECH:
  NeosHardening:
    loginUri: 'neos-random-suffix'
  • 用自定义正则表达式替换动态登录URL检查(如果只是替换 loginUri 则不需要)
    JvMTECH:
  NeosHardening:
    loginUriRegex: '/^(neos)?($|\/)/'
  • 限制指定IP地址对登录界面的访问
    JvMTECH:
  NeosHardening:
  allowedIPs:
    IPv4:
      - '172.20.30.40'
      - '172.20.0.0/24'
    IPv6:
      - '2001:0db8:85a3:0000:0000:8a2e:0370:7334'
  • 定义密码强度要求和默认值
    JvMTECH:
  NeosHardening:
    checkPasswordStrengthOnAddUser: true
    checkPasswordStrengthOnSetUserPassword: true
    passwordRequirements:
      minLength: 8
      upperAndLowerCase: true
      numbers: true
      specialChars: false
      maxConsecutiveLetters: 0 # disabled
      maxConsecutiveNumbers: 0 # disabled
  • 安全密码示例(应该是你的标准,因为你使用密码管理器,对吧? 😉)
    JvMTECH:
  NeosHardening:
    passwordRequirements:
      minLength: 16
      upperAndLowerCase: true
      numbers: true
      specialChars: true
      maxConsecutiveLetters: 3
      maxConsecutiveNumbers: 3

# "djxAHQC0bzc_tjd9nmg" would fail
# "djx@HQC0bzc_tjd9nmg" would work

*) 为什么隐藏内容?

在请求头中隐藏Neos版本并将登录移动到新URL,无非是 "通过模糊性来提高安全性"。

是的。但这又增加了一层防护,使得进入您的系统变得更难。因此,这是一个我们应该抓住的低垂之果。

by jvmtech.ch