【发布时间】:2013-08-20 06:45:55
【问题描述】:
我想在运行 Glassfish v4 的 VPS 上提供虚拟主机服务。这意味着多个域具有一个 VPS 的共享 IP 地址。我知道一个 IP 的多个域的 SSL 证书存在问题,并且 SNI 扩展可以解决这个问题(对吗?)。所以我的问题是,Glassfish 是否支持这一点。
谢谢
【问题讨论】:
【发布时间】:2013-08-20 06:45:55
【问题描述】:
根据 Glassfish 4 安全指南https://glassfish.java.net/docs/4.0/security-guide.pdf,不支持 SNI。然而,将 Glassfish 直接暴露在互联网上通常是 IMO 的不好做法(尽管许多人仍在争论)。
我通常通过运行带有mod_ajp_proxy 的Apache 服务器来解决这个问题,该服务器连接到Glassfish 上的jk-listener。
【讨论】:
-
谢谢。你能解释一下为什么直接暴露GF是不好的做法吗?
-
Glassfish 不是为强化系统而设计的,不应以 root 身份运行(需要绑定到 1024 以下的端口)。有人说 GF 以 root 身份运行就足够了,我更喜欢让 GF 以非特权用户身份运行,并让 Apache 使用公共端口(80/443)。作为一个更简单的平台 IMO,Apache 比 GF 更安全,可攻击点更少。如果有人发现 Apache 的漏洞利用,我希望它会在几个小时内得到修补。 GF 有许多可攻击点(JMS、IIOP 等),所有这些点默认情况下都是打开的,而关闭这些点通常很重要。
-
此外,GF 中的 FIPS 合规性几乎是不可能的,而使用 Apache,只需选择正确的包,即可在 10-15 分钟内完成。当出现安全漏洞时,Apache 可能需要几天时间才能修补。 Glassfish 4.0 的实时下载当前为 build 89,自 2011 年 9 月 14 日起可用,此后未打补丁。我很难相信从那以后没有发现任何漏洞。尽管是我选择的容器,但我仍然觉得将它放在 Apache 提供的额外安全层之后会更安全。
-
您能解释一下为什么“Glassfish 不是为强化系统而设计的”吗?为什么会有这样的信念认为 Apache 比普通的应用服务器更好?相反,我不明白为什么添加一个仅代理 Glassfish 请求的层会增加任何安全性。是的,您可以在