1. 安全设置

1. 尽量不对公网开放，只开放给指定的内网访问。

2. 务必修改默认的管理员帐号和密码，使用强密码，并尽量开启 OTP 认证并使用 Password + OPT 动态口令的方式登录。

3. 千万不要在Linux系统上使用root账号启动tomcat；

4. 建议使用nginx转发，使用域名访问，不要暴露IP地址和端口号。

5. 务必修改默认的会话Key和安全Key；

6. 如有可能，尽量将所有工作空间设置为只读。

2. 锁定主机编辑

FinderWeb允许你关闭主机编辑和工作空间编辑功能，这样即便管理帐号泄漏其他人也无法编辑主机和工作空间。

1. 登录服务器，在FinderWeb的配置目录(一般是~/WEB-INF/classes/META-INF/conf)新建host.lock文件即可；

如果要解除锁定，删除host.lock文件即可；

3. 密码安全

FinderWeb无论是在用户登录的时候还是在用户修改密码，管理员在后台修改密码，都会对用户的用户名和密码进行加密传输，采用RSA加密，服务器上的用户密码是密文存储，使用sha256对 password+salt 加密。

RSA加解密的密钥不落库，不存文件，密钥只在服务器的内存中，服务器重启重新生成。

3. 日志安全

FinderWeb不会在日志打印任何敏感信息，包括用户名和密码，登录日志中，用户名打印为 x****x，密码为：******。

用户操作日志中会打印用户的全名，不脱敏，如果不需要请及时删除。