- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
Jboss中间件安全设计方案 背景
应用服务器的安全配置
Linux防火墙配置
JBoss中间件的安全配置
方法一通过Apache进行服务转发
安装apache服务
安装mod_jk模块
禁止jboss配置
方法二JBoss的安全配置
移除jmx-console控制台
移除web-console控制台
禁止自动扫描
限制访问IP
移除管理用户
安全配置脚本实例
防火墙规则设定的脚本
删除jboss控制台的脚本
1???????背景
本文档是针对明珠商城在测试环境下,为了只让信任的IP访问指定的服务,减少系统的运行风险,为此引入了iptables服务进行防护。Jboss本身的安全问题也要做些处理,比如对外屏蔽jboss其他(除8080)众多端口,把控制台等模块服务给移除等方式,把安全漏洞降到最低。
2???????应用服务器的安全配置
2.1?Linux防火墙配置
设置环境:
服务器 IP地址 ??????????? 描述 服务端 28 ?? 被保护的应用服务器 客户端A 29 ?? 不被信任的客户端 客户端B ?? 信任的客户端 ?示意图:
?
设置防火墙步骤:
#清除现有规则
iptables –F?
? #设置默认策略,默认关闭进入应用服务器的所有数据包链路
iptables-P INPUT DROP
iptables-P OUTPUT ACCEPT
iptables-P FORWARD ACCEPT
?
#设置可信任IP或端口
iptables -AINPUT? -p tcp --dport 22 -j ACCEPT
iptables-A INPUT -s ? -p tcp --dport8080 -j ACCEPT
?
#把设置保持至/etc/sysconfig/iptables,以后防火墙重启也不会失效
/etc/rc.d/init.d/iptablessave2.2?JBoss中间件的安全配置
Jboss默认安装时,为了管理配置方便,很多服务都给默认安装上了,比如Tomcatstatus (full) (XML)、JMX Console?、JBoss Web Console?等管理服务,这些服务给人带来调试、配置方便的同时,也给系统带来了严重的安全隐患。为了减少jboss服务被恶意攻击,除了做好iptables安全防护外,jboss本身的很多服务也要减少被攻击机会,通常有两种做法,一是引入apache服务,让所有请求通过apache转发,把jboss服务隐藏在后端,减少直接被攻击的风险;二是不用apache,而是直接把jboss的相关服务给卸载掉,把这些安全漏洞直接堵死。
2.2.1 方法一:通过Apache进行服务转发
?要实现apache转发jboss服务,需集成mod_jk或是mod_proxy其中一个模块,这两个模块都可以做负载均衡和代理服务。mod_jk性能好些但相对而言配置量大些,而mod_proxy配置简单但性能稍差,其版本不断更新,正在不断完善中。另外需注意的是如果要通过apache转发服务,隐藏jboss细节的话,前提条件是apache服务与jboss应用不能部署在同一台服务器上,这里以mod_jk集成为例进行配置介绍。
安装apache服务
安装linux是自带,这里就不介绍
安装mod_jk模块
?1).源码安装
tar –zxvftomcat-connectors-1.2.30-src.tar.gz
cdtomcat-connectors-1.2.23-src
cd native
./configure--with-apxs=/usr/local/apache/bin/apxs
make
cp ./apache-2.0/mod_jk.so/etc/httpd/modules/
?
2).修改/etc/httpd/conf/http.conf配置文件
? ?LoadModule?jk_module?modules/mod_jk.so?
? ?Include?conf/extra/httpd-vhosts.conf
Include?conf/mod_jk.conf?
#ServerName?:80改为ServerName?:80
添加默认首页:
IfModule?dir_module?
DirectoryIndex?index.html?index.htm?index.jsp?
/IfModule?
?
?3). 增加mod_jk配置文件
在/etc/httpd/conf/下面建立两个配置文件mod_jk.conf和perties
vi /etc/httpd/conf/mod_jk.conf
在/etc/httpd/conf/下面建立两个配置文件mod_jk.conf和perti
您可能关注的文档
- HFSS_V13天线仿真基本操作指南.doc
- HG10.24MobileShoppingTrends.doc
- 252词根记忆法.doc
- 2016浙大远程《经济法》在线作业.doc
- 2016浙江导游考试大纲全部整合五为外语类.doc
- 2016浙江高考化学及(理综+自选).doc
- HG110用户手册(优化)0330.doc
- 第05章网络安全技术与应用.pptx
- HIP、LP缸安装作业指导书.doc
- 2016政工继续教育《“两学一做”学习教育》.doc
- 2017届河北省定州中学高三(高补班)上学期周练(一)物理(版)汇总.doc
- 2017届河北省定州中学高三上学期第二次月考语文汇总.doc
- 2017届河北省廊坊市高三上学期期末考试英语【word】汇总.doc
- JBT2878液压元件螺纹连接油口型式与尺寸汇总.doc
- 2017届河北省石家庄市高三9月摸底考试政治汇总.doc
- JBT9002运输机械用减速器汇总.doc
- 2017届河南省周口市淮阳中学高三上期第二次月考(10月)历史汇总.doc
- JCH03碳纤维胶、结构胶检测细则汇总.doc
- 2017届湖北省恩施州建始县一中高三年级上学期9月月考政治汇总.doc
- JGJ1962010附表大全汇总.doc
文档评论(0)