JBoss EAP 7 中的强化和性能调优

Posted 2023-02-27

【中文标题】JBoss EAP 7 中的强化和性能调优

【英文标题】：Hardening and Performance Tuning in JBoss EAP 7

【发布时间】：2017-10-09 20:42:54

【问题描述】：

我通读了 JBoss EAP 7 的标准指南。它讲述了如何保护端口、增加 JVM 选项，但没有具体说明如何计算和存档特定的测量值。参考Apache实践，如果需要怎么办

隐藏 JBoss 版本号和其他敏感信息 确保 JBoss 在其自己的用户帐户和组下运行 确保不提供 webapp 根文件夹之外的文件 关闭目录浏览关闭服务器端包含 关闭 CGI 执行 不允许 JBoss 跟随符号链接 关闭多个选项 关闭对 .htaccess 文件的支持 降低超时值 限制大型请求 限制 XML 正文的大小 禁用跟踪 HTTP 请求 仅使用 TLS，禁用 SSLv2、SSLv3 默认不开放 80 端口（仅使用 SSL） 修改 Web 应用程序，为所有 cookie 设置 HttpOnly 属性 支持同时连接到 400 个，最大连接超过 3000 个 当不受信任的数据作为命令或查询的一部分发送到解释器时，会出现 SQL、OS 和 LDAP 注入等注入缺陷。攻击者的恶意数据可以欺骗解释器执行意外命令或在未经适当授权的情况下访问数据。 防止攻击者破坏密码、密钥或会话令牌，或利用其他实施缺陷来冒充其他用户的身份。 每当应用程序获取不受信任的数据并将其发送到 Web 浏览器而没有经过适当的验证或转义时，就会出现防止 XSS 漏洞。 XSS 允许攻击者在受害者的浏览器中执行脚本，这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站。 防止不安全的直接对象引用。 防止 CSRF 攻击强制登录的受害者的浏览器向易受攻击的 Web 应用程序发送伪造的 HTTP 请求，包括受害者的会话 cookie 和任何其他自动包含的身份验证信息。这允许攻击者强制受害者的浏览器生成易受攻击的应用程序认为是来自受害者的合法请求的请求。

【问题讨论】：

我建议根据安全性和性能将问题分成两篇（或可能更多篇）。您可能需要考虑在服务器故障和信息安全中发帖（对于每个主题（JBoss、强化......），我会检查哪个论坛更活跃）。如果这不能产生更多帮助，那么我会去 JBoss 论坛。

【参考方案1】：

一个问题中有太多子问题。回答第一个：

删除

X-Powered-By: Undertow/1
X-Powered-By: JSP/2.3
Server: JBoss-EAP/7

执行以下 CLI 命令：

/subsystem=undertow/server=default-server/host=default-host/filter-ref=x-powered-by-header:remove /subsystem=undertow/server=default-server/host=default-host/filter-ref=server-header:remove /subsystem=undertow/servlet-container=default/setting=jsp:write-attribute(name=x-powered-by,value=false)

【讨论】：

感谢您的回复。希望以后也能回答其他问题。