安全加固建议
- MindStudio Insight为开发态工具,不建议通过X协议转发进行使用,建议在本地启动使用。
- MindStudio Insight工具应整包使用,请勿二次开发或调用内部接口。
- MindStudio Insight为本地工具,默认安全,如果需要打开端口,请注意远程通信带来的安全风险。
- 出于安全考虑,在Linux和macOS系统上,禁止使用root用户启动MindStudio Insight工具。如果实际需要使用root用户启动,则需执行./MindStudio-Insight --allow-root进行启动。
- 在Linux或Unix环境下,通过JupyterLab插件安装使用MindStudio Insight时,请在软件包安装之前,确认该环境中当前用户的umask设置,推荐设置为“0027”或更严格,以确保pip安装后的文件对其他用户和同组用户不可写,避免潜在的安全风险。
- MindStudio Insight通过JupyterLab插件安装使用时,默认为安全使用模式,此时JupyterLab服务启动与网络浏览器在同一台机器上,即在当前机器的Linux系统上使用本地浏览器查看,为安全的localhost内通信。
- MindStudio Insight通过JupyterLab插件安装使用时,如果需要远程查看,为非安全使用模式,此时JupyterLab服务启动与网络浏览器不在同一台机器上,用户需通过修改JupyterLab的配置文件或者通过安装jupyter_server_proxy插件代理端口,以供远程机器访问,为不安全的跨机通信,请自行关注远程通信带来的安全风险。
- 为了消减安全风险,可以通过在JupyterLab插件所在的客户端配置iptables等访问控制策略,或者使用nginx等反向代理工具来加固HTTPS的安全性。此外,针对JupyterLab本身的浏览器防护机制可能存在的风险,可以通过修改JupyterLab的配置文件来进行安全加固。
父主题: 附录