科学是实事求是的学问,来不得半点虚假。
DBMNG数据库管理与应用
当前位置:首页 > 服务器配置 > Resin
resin安全配置参考

0x01 账号口令

1  设置控制台口令

加固 resin 控制台,设置复杂的口令


1 、参考配置操作

(1) 如果不需要使用 resin-admin,建议删除 resin_home/doc/admin 文件夹

(2) 在 admin-users.xml 中为用户设置复杂的密码

编辑 resin_home/conf/admin-users.xml,进行用户密码设置,例如:

<resin:AdminAuthenticator xmlns="http://caucho.com/ns/resin"

xmlns:resin="urn:java:com.caucho.resin">

< user name="admin" password="yCGkvrQHY7K8qtlHsgJ6zg=="/ >

</resin:AdminAuthenticator>

注意,初次注册登录用户名需要按照注册步骤修改 resin.properties,同步自动产生 admin-users.xml.generated 文件。

2 、补充说明

口令要求:长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号 4类中至少 3 类。

判定:admin-users.xml 配置文件中的账号口令符合口令复杂度要求。

检测:

(1) 默认通过 http://ip:8080/resin-admin 可以访问 resin admin

(2) 检查 admin-users.xml 中的用户密码设置


2  服务运行身份管理

以 resin 用户运行服务,增强安全性

1 、配置:

Unix  系统:

(1) 创建 resin 组:groupadd resin

(2) 创建 resin 用户并加入 apache 组:useradd resin –g resin

(3) 以 resin 身份启动服务

Windows  系统:

(1) 新建一个 resin 用户

(2) 设置 resin 用户对 resin_home 的相关权限

(3) 在服务管理器 (services.msc) 中找到 resin 服务,右键选择属性,设置登

录身份为 resin 用户

判定: 符合性判定依据,Resin 服务运行用户为 Resin。

检测:查看 resin 的启动脚本或服务,确认是否以 resin 身份运行


0x02 日志审计

1  记录用户登录行为

设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的 IP 地址。

配置指南

参考:如果 resin 前端有 Apache,Apache 可以记录访问日志。如果 resin 独立运行,可以开启 resin 访问日志,修改 resin_home/conf/resin.xml,取消注释:

<access-log path="log/access.log"

format='%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i"'

rollover-period="1W"/>

启用 access_log 后,重启 resin,在 resin_home/log 中可以看到访问日志


判定:查看 logs 目录中相关日志文件内容,记录完整

检测:检查 resin_home/log 目录中的日志文件


0x03 其他

1 删除示例

删除文档和示例程序,防止被非法利用来进行攻击。

配置:删除 resin_home/doc/resin-doc 文件夹

判定:resin_home/doc/resin-doc 文件夹不包含文档和示例程序

检测:打开 resin_home/doc/resin-doc 文件夹,进行检查


2  自定义错误信息

自定义 Resin 返回的错误信息,防止泄露服务器版本等信息。

配置:

1 、参考配置操作

(1)修改应用程序的 web.xml,在最后</web-app>一行之前加入以下内容

a)表示出现 404 未找到网页的错误时显示 404.html 页面

<error-page>

<error-code>404</error-code>

<location>/404.html</location>

</error-page>

建议自定义 403,404,500 错误的页面

b)表示出现 java.lang.NullPointerException 错误时显示 error.jsp 页面

<error-page>

<exception-type>java.lang.NullPointerException</exception-type>

<location>/ error.jsp</location>

</error-page>

(2)重新启动 Resin 服务

(3)要求错误页面不能太大

判定:访问出错时,指向指定的错误页面。

检测:查看应用程序的 web.xml 中<error-page> </error-page> 部分的设置


3  禁止目录列出

防止直接访问目录时由于找不到默认主页而列出目录下所有文件

配置:

1 、参考配置 操作

(1) 编辑 web.xml 配置文件,将 listings 是否设置为 false

<param-name>listings</param-name>

<param-value>false</param-value>

判定:当 WEB 目录中没有默认首页如 index.html,index.jsp 等文件时,不会列出目录内容

检测:检查 web.xml 配置文件


4  补丁更新

手动安装补丁或安装最新版本软件

所安装的补丁,应首先在经过测试验证;安装前,要做好数据备份。

判定:安装了最新版本的安全补丁,或者所安装的版本没有高危漏洞。

检测:查看 resin 版本信息



本站文章内容,部分来自于互联网,若侵犯了您的权益,请致邮件chuanghui423#sohu.com(请将#换为@)联系,我们会尽快核实后删除。
关于我们 - 版权声明 - 服务条款 - RSS订阅 - 工作机会 - 友情链接 - 联系我们 - 在线留言
Copyright © 2006-2018 DBMNG.COM All Rights Reserved. Powered by DEVSOARTECH   豫ICP备11002312号-2

豫公网安备 41010502002439号