配置安全

允许匿名访问

Artifactory提供了一个详细而灵活的基于权限的系统来控制用户对不同特性和工件的访问。

然而，Artifactory还支持“匿名访问”的概念，该概念控制未登录用户可用的特性和工件。

这是通过一个“匿名用户”完成的，它内置在Artifactory中，具有默认的权限集。

属性可以打开(默认值)或关闭匿名访问允许匿名访问设置下安全常规设置在政府模块．

您可以修改分配给“匿名用户”的权限集，就像修改任何其他用户一样，这需要这样做允许匿名访问启用。

防止匿名访问构建相关信息

此设置使您可以更好地控制匿名访问，并允许您阻止匿名用户访问构建模块，即使启用了匿名访问，也可以在其中找到与构建相关的所有信息。

隐藏未授权资源的存在2022世界杯阿根廷预选赛赛程

当用户试图访问未授权的资源时，Artifactory的默认行为是指示该资源存在但受保护。

例如，匿名请求将导致身份验证请求(401)，而未经授权的身份验证用户的请求将被简单地拒绝(403)。

您可以配置Artifactory在这些情况下返回404(而不是403)- Not Found响应隐藏未授权资源的存在2022世界杯阿根廷预选赛赛程下安全|一般在政府模块。

密码加密策略

Artifactory提供了一种独特的解决方案，支持通过密码加密策略设置如下:

有关为什么Artifactory允许您执行密码加密的详细信息，请参阅统一安全密码．

用户锁定和登录暂停

用户帐户锁定和临时登录暂停是Artifactory用于防止暴力破解的两种机制。

临时暂停登录

临时登录暂停意味着当由于使用了不正确的身份验证凭证而导致登录尝试失败时，Artifactory将临时暂停该用户的帐户一段时间，在此期间Artifactory将忽略其他登录尝试。如果登录尝试多次失败，Artifactory将每次增加暂停时间，直到达到最大5秒。

用户帐号锁定

除了临时暂停登录之外，您还可以配置Artifactory在指定次数的登录失败尝试后锁定用户帐户。可以通过勾选“超过最大失败登录次数后锁定用户”，并指定最大登录失败次数字段。由于超过允许的最大失败登录尝试次数而被锁定帐户的用户最大登录失败次数)必须有管理员权限才能解锁其帐户。

解锁用户帐号

Artifactory管理员可以使用下面的“解锁所有用户”按钮解锁所有被锁定的用户安全总体配置配置用户锁定的界面。，管理员还可以解锁指定用户或一组用户安全模块下用户管理。

管理员可以通过REST接口解锁单用户,一个用户群体或同时锁定所有用户．

密码过期策略

Artifactory允许管理员用户强制执行密码过期策略，强制所有用户定期更改密码。当密码过期策略生效时，未在指定时间间隔内执行密码过期策略的用户将被锁定，直到用户修改密码。

管理API密钥

作为管理员用户，您可以撤销系统中当前定义的所有API密钥安全|一般在政府模块。

若要撤销系统中所有API密钥，请单击“移除所有用户的API密钥”。

若要撤销特定用户的API密钥，请导航到政府模块> >安全|用户并选择要编辑的相关用户。一旦进入编辑屏幕，其中一个可用的操作是“撤销API密钥”

密码加密

Artifactory中的不同配置文件可能包含以纯文本形式存储的密码信息。

为确保密码安全，你可选择按Artifactory密钥加密．

---

CSRF保护

从版本5.11开始，引入了CSRF保护，但默认情况下是禁用的。

从6.0版开始，Artifactory可以防止CSRF使用新的自定义头进行攻击，X-Requested-With，用于内部UI调用。默认情况下启用此功能，因为它可能需要对代理服务器进行修改(如果您正在使用代理服务器)，以确保代理不会过滤掉此报头。可以通过修改系统属性并重新启动Artifactory来禁用该特性。

来禁用CSRF保护，添加Artifactory.csrf.filter.enabled = false标志。artifactory.system.properties在$ ARTIFACTORY_HOME /等文件夹并重新启动Artifactory以应用更改。