apache和resin的安全配置

最新推荐文章于 2019-06-10 21:02:03 发布
最新推荐文章于 2019-06-10 21:02:03 发布
阅读量169 收藏
点赞数
文章标签: 操作系统 数据库

  一个好的WEB系统不仅仅是功能上的优秀,安全方面也是至关重要的,尤其是在黑客、菜鸟流行的今天,工具泛滥、病毒横行让人不得不防啊。今天就个人的经验之谈来做下简单的Linux下的apache和resin的安全配置,当然吓唬吓唬菜鸟是完全可以的~~

    resin的安全配置

1.端口修改
    由于resin和apache是整合的,所以resin的端口号可以改成譬如89657等,这样至少可以在一定程度上让人猜解到,当然最好就是做下防火墙的配置,不允许访问该端口就更好了。

2.目录列表禁止
    就算不能访问resin的端口,我们也还是要把resin的目录列表功能给禁止掉。这里以为resin3.0.22说明,修改resin.conf文件,查找到行DirectoryServlet,然后将该行注释掉即可!

3.错误屏蔽
    使用错误页面如屏蔽系统的错误信息(如500错误),这样就不会将系统的错误信息(如堆栈信息)暴露给客户了,而且在一定程度上还可以美化页面呢,呵呵。

    apache的安全配置

1.目录列表禁止
    由于apache是独立的一个WEB服务器,所以和resin整合后,即使resin配置了,但是apache没有配置也是可以看到列表的,所以我们也需要禁止apache的目录列表功能。这里主要修改apache的配置文件httpd.conf文件中的Directory段。比如你的WEB系统的目录是如下配置:

    Options Indexes FollowSymLinks

    那么只要去掉Options中的Indexes即可。

2.错误屏蔽
    和resin一样,使用错误页面来屏蔽系统的错误信息(如500错误和404错误等)。同样也是修改你的WEB系统的目录配置,如下:

    Options Indexes FollowSymLinks
    ErrorDocument 404 http://www.myweb.com/error/404.html
    ErrorDocument 403 http://www.myweb.com/error/403.html
    ErrorDocument 500 http://www.myweb.com/error/500.html

    这样就为你的系统配置了三个错误处理页面了。注意这里最好是使用域名,既你的系统的访问地址。

3.隐藏apache的版本信息和响应头
    当我们没有配置错误页面时,我们访问一个不存在的地址时,apache就会打印一个自己的错误页面,然后把apache的版本信息和resin的版本信息都打印在页面的底部。为了不给别有用心之能留下任何漏洞,我们当然要屏蔽这些版本信息了。修改httpd.conf文件如下(以为apache2.X为例子):
    找到行ServerSignature On 该成Off
    找到行ServerTokens Full 该成Prod
    这两行修改的意思就是关闭服务器的版本信息和修改apache的请求响应头。

4.对重要目录的密码访问控制
    对于WEB系统中的重要目录,比如保存数据库密码的属性文件或程序的源代码目录等。这些都是需要保密的信息,而且这样重要的目录通过禁止文件列表显然也不能完全解决。比较好的方式就是访问这些目录的时候需要密码校验,apache自带的安全特性就能满足这一要求。按如下要求做即可达到目录的密码访问控制:

4.1)修改你的Directory段中的AllowOverride None为AllowOverride Aall
   
        AllowOverride All
   

4.2)建立密码校验文件
    比如我们要将密码本存放在网络访问不到的目录,比如/home/mypassword/passwords文件中。那么执行如下命令(注意#表示Linux下的命令提示符):
#mkdir /home/mypassword
#touch /home/mypassword/passwords
    然后使用apache自带的工具htpasswd来创建一个帐号,假设你的apache安装在/usr/local/apache,命令操作如下:
#/usr/local/apache/bin/htpasswd -c /home/mypassword/passwords hello
    然后它会提示你输入密码(两次),确认成功后,这样就建立了一个hello用户的密码本。

4.3)建立访问控制文件
    在你需要进行密码控制的目录下建立文件.htaccess,比如要保护conf目录,那么就需要在conf目录下建立.htaccess文件,命令操作如下:
#cd /webapp/web1/conf
#touch .htaccess
    然后用VI打开该文件,并输入如下内容:
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /home/mypassword/passwords
Require user hello
    意思是:第一行表示是采用基本密码访问控制;第二行是你的认证名称,可以随意取;第三行就是你的密码本的存放路径了,就是我们在第2步建立的文件;第四行就是访问该目录需要的用户名,当然了这里的用户名在我们的密码本中是要存在的,否则是校验不成功的。
    保存该文件后,重新启动apache,然后再访问conf目录的时候就需要输入用户名和密码了。这样也就达到了目录的保护功能。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/20542911/viewspace-615773/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/20542911/viewspace-615773/

cuidiefan5031
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全运维之Resin应用服务器中间件安装使用与安全配置
WeiyiGeek 唯一极客IT知识分享
10-28 1716
本章目录:0x00 快速入门0x01 Resin安装0x02 Resin配置文件0x03 Resin应用0x04 Security0x05 Help | 附录补充(1) Resin 日志记录之format配置详解原文地址: https://www.bilibili.com/read/cv135806960x00 快速入门描述:Resin是 CAUCHO 公司(http:/...
系统安全配置技术规范-resin(基线加固)
05-28
人工评估(手工检查)是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件,对目标系统的运行和状态没有任何影响,在不允许安装软件进行检查的重要主机上显得非常有用。安全专家对各主机系统、服务器、业务系统、数据库以及各种应用服务器在内的目标系统进行人工评估。
resin 隐藏或修改Server
06-10 923
修改 resin.conf增加<server-header>节点 <cluster id="app-tier"> <!-- sets the content root for the cluster, relative to server.root --> <root-directory>.</root-direct...
【Web容器】Linux下Apache+Resin服务器的安装与配置
ShareBoy
07-03 564
说明:以下安装过程基于Centos 5.4 (64位)操作系统。 1、首先安装apache (1)下载apache,下载地址为:http://mirror.esocc.com/apache//httpd/httpd-2.2.26.tar.gz (2)tar zxvf httpd-2.2.26.tar.gz (3)cd httpd-2.2.26 (4)./configure --prefi
resin安全配置
奔跑的羚羊
10-30 376
[size=x-large]1. ip限制[/size] 在正常访问的web-app标签下,增加一个security-constrain标签即可,如下: [code="xml"] /* 192.168.0.0/16 ...
Apache + nginx + resin 详细配置
09-27
3. Nginx配置:Nginx作为反向代理服务器,它接收来自外部的请求,并将这些请求转发到ApacheResin。在Nginx的`sites`配置文件中,创建一个名为`test.zen.com`的server块,设置server_name、access_log、gzip、...
resin4.0和apache 2.2搭建服务器
04-15
2. 配置Apache虚拟主机:在Apache配置文件(如httpd.conf或独立的vhost配置文件)中,设置一个虚拟主机,并启用ProxyPass和ProxyPassReverse指令,将特定的URL路径映射到Resin服务器。 ```apacheconf *:80> ...
apache2.2+resin3+jdk1.8一键安装包
07-09
Apache 2.2、Resin 3 和 JDK 1.8 是构建高性能Java Web应用程序的基础组件。这个一键安装包旨在简化这些组件在服务器上的部署过程,使得非技术背景的用户也能轻松配置和运行Java应用。 Apache HTTP Server 2.2是...
linux下resinapache整合宣贯.pdf
11-04
【Linux下ResinApache整合】 在Linux操作系统中,整合Resin(一个Java应用服务器...请注意,不同的ApacheResin版本可能需要调整配置细节。此外,为了安全和性能优化,建议定期更新软件,并根据实际需求调整配置
Resin3.0.x+Apache2.0.x安装备忘录!
03-06
Resin3.0.x与Apache2.0.x集成配置详解》 在互联网服务领域,ResinApache是两种常见的Web服务器。Resin,作为Java应用服务器,以其高效的性能和对Servlet、JSP的支持而受到青睐;而Apache,作为开源HTTP服务器,...
resin4.0.39 最新resin版本
04-23
Resin是CAUCHO公司的产品,是一个非常流行的支持servlets和jsp的引擎,速度非常快。Resin本身包含了一个支持HTTP/1.1的WEB服务器。虽然它可以显示动态内容,但是它显示静态内容的能力也非常强,速度直逼APACHESERVER。许多站点都是使用该WEB服务器构建的
ApacheResin的整合
SavageGarden_Love的专栏
10-22 313
因为要做压力测试,而内网项目中用的html比较多,所以要先做apache+resin的整合,虽然比较简单,但还是费了些周折,特做此记录。 1. 下载apache源码,编译安装 [code="java"] # ./configure --prefix=/usr/local/apache2 --enable-module=so # make # make install [/code] ...
查看resin版本信息
iteye_20102的博客
05-08 330
步骤: (1)找到resin安装目录,进入lib目录 (2)进行resin.jar包中的com.caucho.Version类 举例: 如:resin安装目录为/home/resin/则可以按以下命令执行: (1)cd /home/resin/lib (2)java -classpath ./resin.jar com.caucho.Version...
resin安全配置参考
煜铭2011
01-14 2387
0x01 账号口令 1  设置控制台口令 配置说明  加固 resin 控制台,设置复杂的口令 1 、参考配置操作 (1) 如果不需要使用 resin-admin,建议删除 resin_home/doc/admin 文件夹 (2) 在 admin-users.xml 中为用户设置复杂的密码 编辑 resin_home/conf/admin-users.xml,进行用户密码设置,
resin那些事之resin.conf
【 无线技术运营 】 (本专栏是http://wireless.qzone.qq.com的镜像)
07-05 8821
【经验总结】resin那些事之resin.conf ----by johnson 话说与resin打交道很久了,却从未系统了解过。resin一听火了,说:你老兄当真与我打交道很久了?工具、流程如此发达的今天,部署这种工作都由专门的工具去搞了,你老兄也就偶尔着看下我的死活,最多不过是上机器去机械的kill一下,接着再start一下,你真的了解我吗?好吧,我承认不太了解,搞基不是我的风格 -_
安全加固指导手册-Apache安全加固
最新发布
03-11
12. **监控与报警**:设置实时监控系统性能和安全事件,一旦发生异常,立即触发报警。 13. **内容过滤**:对于动态内容,如PHP,确保使用安全编程实践,并配置过滤机制防止SQL注入等攻击。 通过以上步骤,可以显著...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值