JEUS 보안 설정 가이드

JEUS 보안 설정 가이드

■ 기본 디렉토리 변경
(1) DocumentRoot의 별도 디렉토리 지정 여부 확인
# vi /[Apache_home]/conf/httpd.conf
DocumentRoot "기본 디렉토리가 아닌 별도의 디렉토리로 변경"

(2) 설치 시 기본적으로 존재하는 샘플 디렉토리 삭제 여부, 해당 디렉토리에는 운영상 불필요하며 JEUS 의 기본 예제들이 포함되어 있음
# /[Jeus Dir]/samples/

■ 파일 업로드 용량 제한
(1) # vi /[Apache_home]/conf/httpd.conf
설정된 모든 디렉토리의 LimitRequestBody 지시자에서 파일 사이즈 용량 제한 설정
<Directory />
LimitRequestBody 5000000 (※ 업로드 및 다운로드 파일이 5M를 넘지 않도록 권고)
</Directory>

(2) # JEUS_HOME/webserver/config
*DMAIN
jeuservice
*NODE
rogerrb
WEBTOBDIR = "C:/TmaxSoft/JEUS/webserver",
SHMKEY = 54000,
DOCROOT = "C:/TmaxSoft/JEUS/webserver/docs",
TimeOut = 300 #기본 값이 30MB

■ 웹 서버 버전 정보 노출 금지
# <JEUS_HOME>/config/<NODENAME>/JEUSMain.xml 경로에서 설정에서 하단의 옵션 추가
<command-option>
…..-Djeus.servlet.response.header.serverinfo=false
</command-option>

■ 에러 메시지 관리
(1) 관리자 페이지가 존재하는 경우
웹 브라우저단에서 [ENGINE] > [Web Engine] > [Basic] 메뉴를 선택 후 하단에 Default Error Page 항목에 오류가 발생시 보여줄 경로를 설정

(2) WEBMain.xml 파일을 통한 수정
# /[Jeus Dir]/config/[node name]/[node_servlet_engine]/[WEBMain.xml
<context-group>
<group-name>MyGroup</group-name>
<attach-stacktrace-on-error>false</attach-stacktrace-on-error> # false로 설정함으로써 에러 메시지 반환 관련 항목을 비 활성화
</context-group>

■ 메소드 제한
# web.xml 설정 경로로 이동하여 설정
<http-method>DELETE</http-method>
<http-method>TRACE</http-method>
<http-method>PUT</http-method>

 

* JEUS가 Windows에 구축되어 있는 경우
JEUS6.0 fix9에서 Method 제한 설정을 한 경우 제한하지 않은 Method 요청에 대해서도 Windows 보안인증 창이 뜨는 경우가 있음
-> 이때는 AP/WEB-INF 디렉토리에 jeus-web-dd.xml 파일을 생성해주고 redeploy를 하면 해당 설정이 정상적으로 적용됨
* JEUS7의 경우는 jeus-web-dd.xml파일이 없어도 해당 설정이 정상 적용됨