@shutovds

Какие меры по обеспечению безопасности Django на Apach2 необходимы?

Развернул на сервере (vps-Debian8.5) Django + Apache2 + wsgi + PostgreSQL. При установке сдедовал рекомендациям DigitalOcean.
Далее в файле settings.py выставил DEBUG = False, убрал SECRET_KEY в соответствующий файл, то-же сделал и для параметров базы данных, ALLOWED_HOSTS - указаны. Сайт работает.
А вот, что дальше не ясно. Вроде я прошелся по Deployment checklist , вроде закрыл Critical settings, этого на начальном этапе достаточно?
Естественно, я запустил manage.py check --deploy и получил соответствующие рекомендации. Но что с ними дальше делать - не понятно.
Например, если доступ к сайту у меня осуществляется через HTTPS - должен ли я выставлять CSRF_COOKIE_SECURE и SESSION_COOKIE_SECURE = True. Еще один непонятный момент по поводу ALLOWED_HOSTS - я их указал, все работает, но в Deployment checklist указано следующее:
You should also configure the Web server that sits in front of Django to validate the host. It should respond with a static error page or ignore requests for incorrect hosts instead of forwarding the request to Django. This way you’ll avoid spurious errors in your Django logs (or emails if you have error reporting configured that way). For example, on nginx you might setup a default server to return “444 No Response” on an unrecognized host...
Должен ли я в связи с этим предпринимать какие-либо дополнительные действия (если да - то не понятно, что именно нужно сделать)?
(по статикфайлам и медиа - все ясно)
Подскажите пожалуйста, на что следует обратить внимание, т.к. опыта в этом вопросе у меня пока не много и хотелось бы по-возможности учесть и обезопасить ключевые пункты.
  • Вопрос задан
  • 69 просмотров
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы