论坛
潜水/灌水快乐,沉淀知识,认识更多同行。
ToB圈子
加入IT圈,遇到更多同好之人。
朋友圈
看朋友圈动态,了解ToB世界。
ToB门户
了解全球最新的ToB事件
博客
Blog
排行榜
Ranklist
文库
业界最专业的IT文库,上传资料也可以赚钱
下载
分享
Share
导读
Guide
相册
Album
记录
Doing
搜索
本版
文章
帖子
ToB圈子
用户
免费入驻
产品入驻
解决方案入驻
公司入驻
案例入驻
登录
·
注册
只需一步,快速开始
账号登录
立即注册
找回密码
用户名
Email
自动登录
找回密码
密码
登录
立即注册
首页
找靠谱产品
找解决方案
找靠谱公司
找案例
找对的人
专家智库
悬赏任务
圈子
SAAS
IT评测·应用市场-qidao123.com
»
论坛
›
软件与程序人生
›
后端开发
›
Java
›
转resin安全配置
转resin安全配置
九天猎人
金牌会员
|
2023-5-12 16:34:23
|
显示全部楼层
|
阅读模式
楼主
主题
902
|
帖子
902
|
积分
2706
1.版本
:应该从Resin官方提供的下载页面下载最新稳定
版本,注意不要下载beta版本。Resin官网地址为:
http://www.caucho.com/download/
2.删除默认页面:
Resin安装好后,存在默认的示例页面、文档及管理页面:
需要删除以下文件及目录:
%resin%/webapps/ROOT/index.jsp
%resin%/doc/resin-doc文件夹
%resin%/doc/resin-admin文件夹
在Resin4版本中,需再把resin.properties配置文件中的 resin_doc : true和web_admin_enable : true都注释掉。
3.
管理目录安全配置:
对于管理目录,需要做到只允许合法ip可以访问,Resin限制白名单ip访问的配置如下:
WEB-INF/resin-web.xml
:
...
...
4.
禁用root启动Resin:
不以root权限启动Resin,修改resin配置文件中的配置项,确保setuid_user和setuid_group的值不为root,以便在绑定端口后(例如80端口),Resin可切换到非root用户
resin.properties
:
setuid_user : nobodysetuid_group : nobody
5.开启日志记录:
编辑resin.xml配置文件,确保level值不为Off,默认情况下,Resin是开启日志记录功能的,其配置如下:
resin.xml
:
6.
禁止显示错误信息:
Resin在程序执行失败时会有错误信息提示,可能泄漏
服务器
的敏感信息,需要关闭错误提示信息。
首先,关闭开发模式,将resin.properties配置文件中的 dev_mode: true注释掉。其次,通过指定错误页面的方式避免将错误回显给用户,其配置如下:
WEB-INF/ web.xml
:
(1)出现404/500未找到网页的错误时显示404.php/500.jsp页面 (2)出现java.lang.NullPointerException错误时显示 error.jsp页面 注:可以根据需要自行增加相应的错误码,常见的如500,404等,location选项为指定跳转的页面,该jsp/php/html文件需要自己生成。
7.关闭静态映射:
在resin 3.x.x版本中存在配置项,若设为true,可能会导致通过www.abc.com/test.jsp%00x 或者末尾添加%5c等其它特殊字符下载到jsp源码。修改配置如下:
WEB-INF/resin-web.xml
:
false
注意:默认为false。
8.屏蔽resin版本信息显示:
在resin.xml 的cluster标签的最后一行添加server-header标签
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
回复
使用道具
举报
0 个回复
倒序浏览
返回列表
快速回复
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
or
立即注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
发新帖
回复
九天猎人
金牌会员
这个人很懒什么都没写!
楼主热帖
C# 使用流读取大型TXT文本文件 ...
从洞察到决策,一文解读标签画像体系建 ...
Flink的API分层、架构与组件原理、并行 ...
JVM
打穿你的内网之三层内网渗透 ...
袋鼠云平台代码规范化编译部署的提效性 ...
SpringBoot(八) - 统一数据返回,统一 ...
SQL中的排座位问题
微服务(三)之负载均衡(服务端和客户端) ...
MySQL中USER()和CURRENT_USER()的区别 ...
标签云
存储
服务器
浏览过的版块
数据仓库与分析
快速回复
返回顶部
返回列表