JBoss EAP 7 中的强化和性能调整
Hardening and Performance Tuning in JBoss EAP 7
我通读了JBoss EAP 7 的标准指南。它告诉我们如何保护端口,增加JVM 选项,但没有具体说明如何计算和归档特定度量。参考Apache实践,有需要怎么办
- 隐藏JBoss版本号等敏感信息
- 确保 JBoss 在其自己的用户帐户和组
下 运行
- 确保不提供 webapp 根文件夹之外的文件
- 关闭目录浏览关闭服务器端包括
- 关闭 CGI 执行
- 不允许 JBoss 跟随符号链接
- 关闭多个选项
- 关闭对 .htaccess 文件的支持
- 降低超时值
- 限制大请求
- 限制 XML 正文的大小
- 禁用跟踪 HTTP 请求
- 仅使用 TLS,禁用 SSLv2、SSLv3
- 默认不开启80端口(仅使用SSL)
- 修改网络应用程序以设置所有 cookie 的 HttpOnly 属性
- 支持同时连接进程到400个,最大连接数超过3000个
- 防止注入缺陷,例如 SQL、OS 和 LDAP 注入,当不受信任的数据作为命令或查询的一部分发送到解释器时会发生。攻击者的恶意数据可以诱使解释器执行意外命令或在未经适当授权的情况下访问数据。
- 防止攻击者破坏密码、密钥或会话令牌,或利用其他实施缺陷冒充其他用户的身份。
- 只要应用程序获取不受信任的数据并将其发送到 Web 浏览器而没有进行适当的验证或转义,就会发生 XSS 漏洞。 XSS 允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意站点。
- 防止不安全的直接对象引用。
- 防止 CSRF 攻击迫使登录的受害者的浏览器向易受攻击的 Web 应用程序发送伪造的 HTTP 请求,包括受害者的会话 cookie 和任何其他自动包含的身份验证信息。这允许攻击者强制受害者的浏览器生成易受攻击的应用程序认为来自受害者的合法请求的请求。
一个问题中的子问题过多。回答第一个:
删除
X-Powered-By: Undertow/1
X-Powered-By: JSP/2.3
Server: JBoss-EAP/7
执行以下 CLI 命令:
/subsystem=undertow/server=default-server/host=default-host/filter-ref=x-powered-by-header:remove
/subsystem=undertow/server=default-server/host=default-host/filter-ref=server-header:remove
/subsystem=undertow/servlet-container=default/setting=jsp:write-attribute(name=x-powered-by,value=false)
我通读了JBoss EAP 7 的标准指南。它告诉我们如何保护端口,增加JVM 选项,但没有具体说明如何计算和归档特定度量。参考Apache实践,有需要怎么办
- 隐藏JBoss版本号等敏感信息
- 确保 JBoss 在其自己的用户帐户和组 下 运行
- 确保不提供 webapp 根文件夹之外的文件
- 关闭目录浏览关闭服务器端包括
- 关闭 CGI 执行
- 不允许 JBoss 跟随符号链接
- 关闭多个选项
- 关闭对 .htaccess 文件的支持
- 降低超时值
- 限制大请求
- 限制 XML 正文的大小
- 禁用跟踪 HTTP 请求
- 仅使用 TLS,禁用 SSLv2、SSLv3
- 默认不开启80端口(仅使用SSL)
- 修改网络应用程序以设置所有 cookie 的 HttpOnly 属性
- 支持同时连接进程到400个,最大连接数超过3000个
- 防止注入缺陷,例如 SQL、OS 和 LDAP 注入,当不受信任的数据作为命令或查询的一部分发送到解释器时会发生。攻击者的恶意数据可以诱使解释器执行意外命令或在未经适当授权的情况下访问数据。
- 防止攻击者破坏密码、密钥或会话令牌,或利用其他实施缺陷冒充其他用户的身份。
- 只要应用程序获取不受信任的数据并将其发送到 Web 浏览器而没有进行适当的验证或转义,就会发生 XSS 漏洞。 XSS 允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意站点。
- 防止不安全的直接对象引用。
- 防止 CSRF 攻击迫使登录的受害者的浏览器向易受攻击的 Web 应用程序发送伪造的 HTTP 请求,包括受害者的会话 cookie 和任何其他自动包含的身份验证信息。这允许攻击者强制受害者的浏览器生成易受攻击的应用程序认为来自受害者的合法请求的请求。
一个问题中的子问题过多。回答第一个:
删除
X-Powered-By: Undertow/1 X-Powered-By: JSP/2.3 Server: JBoss-EAP/7
执行以下 CLI 命令:
/subsystem=undertow/server=default-server/host=default-host/filter-ref=x-powered-by-header:remove /subsystem=undertow/server=default-server/host=default-host/filter-ref=server-header:remove /subsystem=undertow/servlet-container=default/setting=jsp:write-attribute(name=x-powered-by,value=false)