개요

public 으로 Confluence 를 운영하는 경우 무차별 login 시도등 여러 가지 공격에 시달릴 수 있습니다.


1차적으로는 기본 login url 인 login.action 을 다음 방법으로 임의의 URL 로 변경하는 것이 좋은 대응책입니다.


Confluence 를 anonymous access 가 가능하도록 설정한 경우 아래 팁이 적용되지 않습니다.



seraph-config.xml 를 에디터로 엽니다.

이 파일은 Confluence 설치 경로의 confluence/WEB-INF/classes/seraph-config.xml 에 위치하고 있습니다.


아래와 같은 login.url 과 link.login.url 항목을 원하는  URL 로 변경해 줍니다.

seraph-config.xml

<security-config>
    <parameters>
        <init-param>
            <param-name>login.url</param-name>
            <param-value>/login.action?os_destination=${originalurl}&permissionViolation=true</param-value>
        </init-param>
        <init-param>
            <param-name>link.login.url</param-name>
            <param-value>/login.action</param-value>
        </init-param>
XML


아래는 private-login 으로 변경하는 예제입니다.

seraph-config.xml

<security-config>
    <parameters>
        <init-param>
            <param-name>login.url</param-name>
            <param-value>/private-login.action?os_destination=${originalurl}&permissionViolation=true</param-value>
        </init-param>
        <init-param>
            <param-name>link.login.url</param-name>
            <param-value>/private-login.action</param-value>
        </init-param>
XML


confluence 를 재시작합니다.



Ref