首页 > 其他分享 >转resin安全配置

转resin安全配置

时间:2023-05-12 16:46:18浏览次数:49  
标签:xml 配置 Resin 安全 jsp resin 页面

1.版本:应该从Resin官方提供的下载页面下载最新稳定

版本,注意不要下载beta版本。Resin官网地址为:

http://www.caucho.com/download/

2.删除默认页面:Resin安装好后,存在默认的示例页面、文档及管理页面:

需要删除以下文件及目录:

%resin%/webapps/ROOT/index.jsp

%resin%/doc/resin-doc文件夹

%resin%/doc/resin-admin文件夹

在Resin4版本中,需再把resin.properties配置文件中的 resin_doc : true和web_admin_enable : true都注释掉。

3. 管理目录安全配置:对于管理目录,需要做到只允许合法ip可以访问,Resin限制白名单ip访问的配置如下:

WEB-INF/resin-web.xml

<web-appxmlns="http://caucho.com/ns/resin"

xmlns:resin="urn:java:com.caucho.resin">

...

<resin:Allow url-pattern="/admin/*">

<resin:IfNetwork value="192.168.17.0/24"/>

</resin:Allow>

...

</web-app>

4. 禁用root启动Resin:不以root权限启动Resin,修改resin配置文件中的配置项,确保setuid_user和setuid_group的值不为root,以便在绑定端口后(例如80端口),Resin可切换到非root用户

resin.properties

setuid_user : nobodysetuid_group : nobody

5.开启日志记录:编辑resin.xml配置文件,确保level值不为Off,默认情况下,Resin是开启日志记录功能的,其配置如下:

resin.xml

<log-handler name="" level="all" path="stdout:" timestamp="[%y-%m-%d %H:%M:%S.%s]" format=" {${thread}} ${log.message}"/>

6. 禁止显示错误信息:Resin在程序执行失败时会有错误信息提示,可能泄漏服务器的敏感信息,需要关闭错误提示信息。

首先,关闭开发模式,将resin.properties配置文件中的 dev_mode: true注释掉。其次,通过指定错误页面的方式避免将错误回显给用户,其配置如下:

WEB-INF/ web.xml

(1)出现404/500未找到网页的错误时显示404.php/500.jsp页面<error-page error-code='404' location='/404.php'/><error-page error-code='500' location='/500.jsp'/> (2)出现java.lang.NullPointerException错误时显示 error.jsp页面<error-page exception-type=java.lang.NullPointerException location='/error.jsp'/> 注:可以根据需要自行增加相应的错误码,常见的如500,404等,location选项为指定跳转的页面,该jsp/php/html文件需要自己生成。

7.关闭静态映射:在resin 3.x.x版本中存在<strict-mapping>配置项,若设为true,可能会导致通过www.abc.com/test.jsp%00x 或者末尾添加%5c等其它特殊字符下载到jsp源码。修改配置如下:

WEB-INF/resin-web.xml

<strict-mapping>false</strict-mapping>

注意:默认为false。

8.屏蔽resin版本信息显示:

在resin.xml 的cluster标签的最后一行添加server-header标签

标签:xml,配置,Resin,安全,jsp,resin,页面
From: https://www.cnblogs.com/lwhy/p/17395080.html

相关文章

  • 迅为LS2K1000核心板智能电力安全监控解决方案
      迅为2K1000开发析采用龙芯2K1000处理器是一款高性能处理器,适用于智能电力安全监控系统。以下是基于迅为2K1000核心板的智能电力安全监控解决方案的介绍:  实时监控与数据采集:借助龙芯2K1000处理器的高性能计算能力和实时数据处理能力,结合传感器网络和监控设备,实现对电......
  • django系列-git远程仓库配置
    一、本地配置0.为什么要设置本地配置有一些不希望别人同步代码时看到的配置,可以放在local_settings.py中,通过配置gitignore实现1.创建gitee仓库 网站手动创建2.gitignore配置在项目中创建一个.gitignore的文件,在里面写上文件名或文件夹,可以git忽略一些文件,不要进行版本控......
  • VMware Aria Automation Config 8.12 - Aria Automation 的软件配置管理与安全性
    VMwareAriaAutomationConfig8.12-AriaAutomation的软件配置管理与安全性请访问原文链接:https://sysin.org/blog/vmware-aria-automation-config/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgAriaAutomation的软件配置管理与安全性AriaAutomationConfi......
  • 博图SCL+LAD之原创程序。 硬件配置S7-12143个CM1241 RS2321个CB1241 RS
    博图SCL+LAD之原创程序。硬件配置S7-1214?3个CM1241RS232?1个CB1241RS485。以下功能只是一部分,占总程序25%,请注意。以下用SCL功能实现:1:预设五组配方,包含条形码编码、光源亮度、板件厚度等信息,单个配方数量20,总共100个配方(配方数可调整)。2:配方存入、读取扫码器数据、设置光源亮度......
  • python配置使用
    一、配置pip源为清华源pipconfigsetglobal.index-urlhttps://pypi.tuna.tsinghua.edu.cn/simple二、新建pycharm项目#Newenvironmentusing... 表示选择虚拟python环境#previouslyconfiguredinterpreter 表示可以选择本地的python环境,可再Addinterpreter中添加本......
  • 罗克韦尔Modbus-RTU通讯程序 硬件配置:1769-SM2 软件版本:Studi
    罗克韦尔Modbus-RTU通讯程序硬件配置:1769-SM2软件版本:Studio5000V32实现以下功能:RS485通讯MODBUS-RTU模式1:读取从站数据2:写入从站数据3:查看从站通讯成功失败状态4:查看从站通讯错误故障代码5:查看单周期和全周期时间单个端口支持32站点,3端口96站点。支持并发3端口最大512点......
  • Mac上MacVim安装与配置
    MacVim下载DownloadMacVim7.3(snapshot64)forMacOSXLion.(ReleasedJan2,2012.) 下载后得到MacVim-snapshot-64.tbz这个包里面有三个文件(MacVim、mvim、reader.txt)把MacVim.app放到你的应用程序也就是/Applications目录下(必须放到应用程序目录下,否则终端调用:mvim ......
  • .net core 上传文件大小配置
    发布会的web.config中下增加       Starup.cs增加//上传文件大小限制Kestrel设置services.Configure(options=>{//Setthelimitto256MBoptions.Limits.MaxRequestBodySize=268435456;});//上传文件大小限制IIS设置services.Configure(options=>......
  • Acunetix 15.6 (Linux, Windows) 发布 - Web 应用程序安全测试
    Acunetix15.6(Linux,Windows)-Web应用程序安全测试请访问原文链接:https://sysin.org/blog/acunetix-15/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgAcunetix漏洞扫描器,管理您的网络安全。使用Acunetix提高您的Web应用程序安全性Acunetix不仅仅是一......
  • Invicti v23.5 for Windows 发布 - 企业应用安全测试
    Invictiv23.5forWindows-企业应用安全测试InvictiStandard11May2023v23.5.0.40516请访问原文链接:https://sysin.org/blog/invicti/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgInvicti是一种自动化但完全可配置的Web应用程序安全扫描程序,使您能够扫......