JBoss EAP 7中的强化和性能调优_Jboss_Jboss7.x_Wildfly_Undertow

JBoss EAP 7中的强化和性能调优

jboss

JBoss EAP 7中的强化和性能调优,jboss,jboss7.x,wildfly,undertow,Jboss,Jboss7.x,Wildfly,Undertow,我通读了JBossEAP7的标准指南。它说明了如何保护端口，增加JVM选项，但没有具体说明如何计算和归档特定的度量。参考Apache practice，如果需要，我应该怎么做隐藏JBoss版本号和其他敏感信息确保JBoss在其自己的用户帐户和组下运行确保不提供webapp根文件夹之外的文件关闭目录浏览关闭服务器端包括关闭CGI执行不允许JBoss跟随符号链接关闭多个选项关闭对.htaccess文件的支持降低超时值限制大型请求限制XML正文的大小禁用跟踪HTTP请求仅使用

我通读了JBossEAP7的标准指南。它说明了如何保护端口，增加JVM选项，但没有具体说明如何计算和归档特定的度量。参考Apache practice，如果需要，我应该怎么做

隐藏JBoss版本号和其他敏感信息

确保JBoss在其自己的用户帐户和组下运行

确保不提供webapp根文件夹之外的文件

关闭目录浏览关闭服务器端包括

关闭CGI执行

不允许JBoss跟随符号链接

关闭多个选项

关闭对.htaccess文件的支持

降低超时值

限制大型请求

限制XML正文的大小

禁用跟踪HTTP请求

仅使用TLS，禁用SSLv2、SSLv3

默认情况下不要打开80端口（仅使用SSL）

修改web应用程序以设置所有Cookie的HttpOnly属性

支持到400的同时连接过程和超过3000的最大连接

防止在命令或查询中将不受信任的数据发送到解释器时出现注入缺陷，如SQL、OS和LDAP注入。攻击者的恶意数据可以诱使解释器执行非预期命令或在未经适当授权的情况下访问数据

防止攻击者泄露密码、密钥或会话令牌，或利用其他实现缺陷冒充其他用户的身份

当应用程序获取不受信任的数据并将其发送到web浏览器而未进行适当的验证或转义时，就会出现防止XSS缺陷。XSS允许攻击者在受害者的浏览器中执行脚本，从而劫持用户会话、破坏网站或将用户重定向到恶意网站

防止不安全的直接对象引用

防止CSRF攻击迫使登录的受害者浏览器向易受攻击的web应用程序发送伪造的HTTP请求，包括受害者的会话cookie和任何其他自动包含的身份验证信息。这允许攻击者强制受害者的浏览器生成易受攻击的应用程序认为是来自受害者的合法请求的请求

一个问题中的子问题太多。回答第一个问题：

除去

执行以下CLI命令：

/subsystem=undertow/server=default server/host=default host/filter ref=x-powered-by-header:删除 /subsystem=undertow/server=default server/host=default host/filter ref=server头：删除 /subsystem=undertow/servlet container=default/setting=jsp:write属性（name=x-powered-by，value=false）

谢谢你的回复。希望以后也能回答其他问题。我建议根据安全性和性能将这些问题分成两篇文章（或者更多）。您可能想考虑发布服务器故障和信息安全（对于每个主题（JBASE，硬化，…），我会检查哪个论坛更活跃）。如果这不能产生更多的帮助，那么我会去JBoss论坛。

X-Powered-By: Undertow/1
X-Powered-By: JSP/2.3
Server: JBoss-EAP/7