SVN服务器安全扫描工具

Question

我们计划将我们的SVN服务器从局域网迁移到Internet。

我们需要说服我们的管理层，我们的设置是足够安全的。

有没有SVN服务器安全扫描工具，可以检查我们SVN服务器的安全级别？

谢谢。我们使用的是Windows。

Answer 1

使用Nessus或OpenVAS(Nessus的一个更免费的版本)很容易测试所有运行在服务器上的守护进程(如ssh，Apache或SVN)上的已知漏洞。加载Nessus或OpenVAS，将目标设置为您的SVN服务器，并启用所有插件。大约需要15分钟，它会给你一个详细的报告。

在开放的互联网上使用SVN最安全的方式是svn+ssh，并使用SSH密钥而不是密码进行身份验证。但是，这需要您为每个开发人员设置密钥。在互联网上以纯文本形式发布用户名/密码和源代码不是(!!!!)EXTREMELY(!!!!)的好主意。至少，你必须确保你使用的SVN+HTTPS有一个真正的证书，这将花费你大约30美元一年。同时禁用HTTP，您不希望开发人员意外地通过http进行连接。

Answer 2

您没有指定如何保护您的SVN服务器。

使用svnserve + SSH://

没有工具可以完全验证安全性。您需要使用经过验证的技术对其进行设置。

[...and几乎肯定属于服务器故障：SVN+SSH Security]

Answer 3

您可以尝试使用Google进行搜索，例如：

allinurl:"all-wcprops“inurl:"yoururlhere”

如果你在最后得到一个像这样的匹配：

/.svn/all-wcprops

这意味着Apache没有被配置为至少阻止人们签出你的存储库。这可能是一个通过apache而不是svn检查安全故障的工具。希望我能帮上忙。

在您的apache conf中修复非常简单：

# Disallow browsing of Subversion working copy administrative dirs.
<DirectoryMatch "^/.*/\.svn/">
    Order deny,allow
    Deny from all
</DirectoryMatch>