转resin安全配置

1.版本：应该从Resin官方提供的下载页面下载最新稳定
版本，注意不要下载beta版本。Resin官网地址为：
http://www.caucho.com/download/
2．删除默认页面：Resin安装好后，存在默认的示例页面、文档及管理页面：
需要删除以下文件及目录：
%resin%/webapps/ROOT/index.jsp
%resin%/doc/resin-doc文件夹
%resin%/doc/resin-admin文件夹
在Resin4版本中，需再把resin.properties配置文件中的 resin_doc : true和web_admin_enable : true都注释掉。
3. 管理目录安全配置:对于管理目录，需要做到只允许合法ip可以访问，Resin限制白名单ip访问的配置如下：
WEB-INF/resin-web.xml：

...



...

4. 禁用root启动Resin:不以root权限启动Resin，修改resin配置文件中的配置项，确保setuid_user和setuid_group的值不为root，以便在绑定端口后(例如80端口)，Resin可切换到非root用户
resin.properties：
setuid_user : nobodysetuid_group : nobody
5.开启日志记录:编辑resin.xml配置文件，确保level值不为Off，默认情况下，Resin是开启日志记录功能的，其配置如下：
resin.xml：

6. 禁止显示错误信息:Resin在程序执行失败时会有错误信息提示，可能泄漏服务器的敏感信息，需要关闭错误提示信息。
首先，关闭开发模式，将resin.properties配置文件中的 dev_mode: true注释掉。其次，通过指定错误页面的方式避免将错误回显给用户，其配置如下：
WEB-INF/ web.xml：
（1）出现404/500未找到网页的错误时显示404.php/500.jsp页面 （2）出现java.lang.NullPointerException错误时显示 error.jsp页面 注：可以根据需要自行增加相应的错误码，常见的如500，404等，location选项为指定跳转的页面，该jsp/php/html文件需要自己生成。
7.关闭静态映射:在resin 3.x.x版本中存在配置项，若设为true，可能会导致通过www.abc.com/test.jsp%00x 或者末尾添加%5c等其它特殊字符下载到jsp源码。修改配置如下：
WEB-INF/resin-web.xml：
false
注意：默认为false。
8.屏蔽resin版本信息显示:
在resin.xml 的cluster标签的最后一行添加server-header标签


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！