JBoss EAP 7 中的强化和性能调优
Posted
技术标签:
【中文标题】JBoss EAP 7 中的强化和性能调优【英文标题】:Hardening and Performance Tuning in JBoss EAP 7 【发布时间】:2017-10-09 20:42:54 【问题描述】:我通读了 JBoss EAP 7 的标准指南。它讲述了如何保护端口、增加 JVM 选项,但没有具体说明如何计算和存档特定的测量值。参考Apache实践,如果需要怎么办
-
隐藏 JBoss 版本号和其他敏感信息
确保 JBoss 在其自己的用户帐户和组下运行
确保不提供 webapp 根文件夹之外的文件
关闭目录浏览关闭服务器端包含
关闭 CGI 执行
不允许 JBoss 跟随符号链接
关闭多个选项
关闭对 .htaccess 文件的支持
降低超时值
限制大型请求
限制 XML 正文的大小
禁用跟踪 HTTP 请求
仅使用 TLS,禁用 SSLv2、SSLv3
默认不开放 80 端口(仅使用 SSL)
修改 Web 应用程序,为所有 cookie 设置 HttpOnly 属性
支持同时连接到 400 个,最大连接超过 3000 个
当不受信任的数据作为命令或查询的一部分发送到解释器时,会出现 SQL、OS 和 LDAP 注入等注入缺陷。攻击者的恶意数据可以欺骗解释器执行意外命令或在未经适当授权的情况下访问数据。
防止攻击者破坏密码、密钥或会话令牌,或利用其他实施缺陷来冒充其他用户的身份。
每当应用程序获取不受信任的数据并将其发送到 Web 浏览器而没有经过适当的验证或转义时,就会出现防止 XSS 漏洞。 XSS 允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站。
防止不安全的直接对象引用。
防止 CSRF 攻击强制登录的受害者的浏览器向易受攻击的 Web 应用程序发送伪造的 HTTP 请求,包括受害者的会话 cookie 和任何其他自动包含的身份验证信息。这允许攻击者强制受害者的浏览器生成易受攻击的应用程序认为是来自受害者的合法请求的请求。
【问题讨论】:
我建议根据安全性和性能将问题分成两篇(或可能更多篇)。您可能需要考虑在服务器故障和信息安全中发帖(对于每个主题(JBoss、强化......),我会检查哪个论坛更活跃)。如果这不能产生更多帮助,那么我会去 JBoss 论坛。 【参考方案1】:一个问题中有太多子问题。回答第一个:
删除
X-Powered-By: Undertow/1 X-Powered-By: JSP/2.3 Server: JBoss-EAP/7
执行以下 CLI 命令:
/subsystem=undertow/server=default-server/host=default-host/filter-ref=x-powered-by-header:remove /subsystem=undertow/server=default-server/host=default-host/filter-ref=server-header:remove /subsystem=undertow/servlet-container=default/setting=jsp:write-attribute(name=x-powered-by,value=false)
【讨论】:
感谢您的回复。希望以后也能回答其他问题。以上是关于JBoss EAP 7 中的强化和性能调优的主要内容,如果未能解决你的问题,请参考以下文章