WAS의 설정 파일(주요 소스 코드 파일이나 설정 파일)에 아무나 접근할 수 있다면 서비스가 비정상적으로 동작하거나 중지될 우려가 있습니다. 혹은 WAS의 위조나 변조, 백도어 삽입 등의 피해도 발생할 수 있죠. 이러한 일을 막으려면 전용 서비스 계정 혹은 서비스 그룹에만

WAS 프로세스를 보호하려면 관리자 계정으로 구동하지 말아야 합니다. 이는 프로세스의 실행 계정이나 그룹이 root나 Administrator여서는 안 된다는 뜻입니다. 여기에서는 윈도우의 IIS, 아파치 HTTP 서버, 톰캣, NGINX, 스프링부트, Node.js의 여섯…

WAS에는 핵심 기능을 제어하는 관리자 콘솔을 제공합니다. 그런데 처음 실무 환경에서 일할 때는 관리자 콘솔의 보안성을 소홀히 생각하기 쉽습니다. 기본으로 제공하는 계정명과 패스워드가 있기 때문입니다. 특히 외부에 공개되지 않는 서비스라면 변경하기 귀찮다는 이유로 기본 계정명과…