Apache Tomcat herða- og öryggishandbók

Gagnleg leiðarvísir til að herða og tryggja Apache Tomcat Server með bestu starfsháttum.


Tomcat er einn vinsælasti Servlet og JSP Container netþjóninn. Það er notað af eftirfarandi vefsíðum með mikla umferð:

  • LinkedIn.com
  • Dailymail.co.uk
  • Comcast.net
  • Wallmart.com
  • Reuters.com
  • Meetup.com
  • Webs.com

Hér að neðan mynd sýnir markaðsstöðu Tomcat á Java forritamiðlaranum.

Heimild: Plumbr

Tæknilega geturðu notað Tomcat sem framan miðlara til að þjóna beiðnum vefsvæða beint. Hins vegar í framleiðsluumhverfi gætirðu viljað nota einhverja netþjóna eins og Apache, Nginx sem framhlið til að beina beiðnum til Tomcat.

Að nota vefþjón til að meðhöndla beiðnirnar gefur frammistaða og öryggi Kostir. Ef þú ert að nota Apache HTTP sem framan netþjón, verður þú að íhuga að tryggja það líka.

Að hafa sjálfgefna stillingu Tomcat kann að afhjúpa viðkvæmar upplýsingar, sem hjálpa tölvusnápur að búa sig undir árás á forritið.

Eftirfarandi eru prófaðar á Tomcat 7.x, UNIX umhverfi.

Áhorfendur

Þetta er hannað fyrir stjórnendur Middleware, stuðning forrita, kerfisgreiningaraðila eða einhvern sem vinnur eða vill til að læra Tomcat herða og öryggi.

Góð þekking á Tomcat & UNIX skipun er skylda.

Skýringar

Við þurfum eitthvert tæki til að skoða HTTP hausa til að staðfesta. Það eru tvær leiðir til að gera þetta.

Ef próf Internet snúið forrit, þá geturðu notað eftirfarandi HTTP hausverkfæri til að staðfesta framkvæmdina.

Og fyrir Innra netforrit, þú getur notað Google Chrome, verkfæri Firefox verktaki.

Sem besta starf verður þú að taka a öryggisafrit af hvaða skrá sem þú ert að fara að breyta.

Við munum kalla Tomcat uppsetningar möppu sem $ tomcat í gegnum þessar leiðbeiningar.

Förum í gegnum herðinguna & tryggja málsmeðferð.

Fjarlægðu miðlara borði

Að fjarlægja miðlara borða úr HTTP haus er eitt af því fyrsta sem þarf að gera eins og að herða.

Að hafa miðlara borða afhjúpar vöruna og útgáfuna sem þú ert að nota og leiðir til varnarleysis upplýsinga.

Sjálfgefið að síðu þjónað af Tomcat birtist svona.

Við skulum fela upplýsingar um vöru og útgáfu í haus Server.

  • Farðu í $ tomcat / conf möppuna
  • Breyta server.xml með því að nota vi
  • Bættu eftirfarandi við tengi tengi

Server = ““

Fyrrverandi: –

  • Vistaðu skrána og endurræstu Tomcat. Þegar þú opnar forrit, ættirðu að sjá autt gildi fyrir Server hausinn.

Byrjar Tomcat með öryggisstjóra

Öryggisstjóri verndar þig fyrir óáreiðanlegum forriti sem keyrir í vafranum þínum.

Að keyra Tomcat með öryggisstjóra er betra en að keyra án eins. Tomcat hefur framúrskarandi gögn um Tomcat öryggisstjóri.

Það góða við þetta er að þú þarft ekki að breyta neinni stillingarskrá. Það er bara hvernig þú keyrir upp start.sh skrá.

Allt sem þú þarft að gera er að byrja tomcat með –öryggisröksemdum.

[[varið með tölvupósti] bin] # ./startup.sh -öryggi
Notkun CATALINA_BASE: / opt / tomcat
Notkun CATALINA_HOME: / opt / tomcat
Notkun CATALINA_TMPDIR: / opt / tomcat / temp
Notkun JRE_HOME: / usr
Notkun CLASSPATH: /opt/tomcat/bin/bootstrap.jar:/opt/tomcat/bin/tomcat-juli.jar
Notar öryggisstjóra
Tomcat byrjaði.
[[varið með tölvupósti] bin] #

Virkja SSL / TLS

Að þjóna beiðnum á vefnum með HTTPS er nauðsynlegur til að vernda gögn milli viðskiptavinar og Tomcat. Til að gera vefforritið þitt aðgengilegt í gegnum HTTPS þarftu að innleiða SSL vottorð.

Miðað við að þú hafir nú þegar verið búinn að keystore með vottorðið geturðu bætt við neðan lína í server.xml skrá undir Connector port kafla.

SSLEnabled ="satt" fyrirætlun ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="chandan" clientAuth ="rangt" sslProtocol ="TLS"

Skiptu um lykilorð lykilorðs og lykilorð með þínu.

Ef þú þarft hjálp við lykilverslunina & CSR ferli, víttu síðan í þessa handbók.

Framfylgja HTTPS

Þetta á aðeins við þegar þú ert með SSL virkt. Ef ekki, mun það brjóta umsóknina.

Þegar þú hefur gert SSL virkt, væri gott að neyða beina öllum HTTP beiðnum til HTTPS til að tryggja örugg samskipti milli notanda og Tomcat forritamiðlara.

  • Farðu í $ tomcat / conf möppuna
  • Breyta web.xml með því að nota vi
  • Bættu við eftirfarandi fyrir setningafræði

Verndað samhengi
/ *

TRÚNAÐUR

  • Vistaðu skrána og endurræstu Tomcat

Bættu við öruggu & Http Aðeins flaggið við kex

Það er mögulegt að stela eða vinna með vefforritun og smákökur án þess að hafa örugga kex. Það er fáni sem er sprautað í haus svarsins.

Þetta er gert með því að bæta við fyrir neðan línuna í session-config hlutanum í web.xml skránni

satt
satt

Skjámynd stillingar:

Vistaðu skrána og endurræstu Tomcat til að skoða HTTP svörunarhaus.

Keyra Tomcat af reikningi sem ekki hefur réttindi

Það er gott að nota sérstakan notanda sem ekki hefur réttindi fyrir Tomcat. Hugmyndin hér er að vernda aðra þjónustu sem er í gangi ef einhver reikningur verður í hættu.

  • Búðu til UNIX notanda, segjum tomcat

useradd tomcat

  • Stöðvaðu Tomcat ef þú keyrir
  • Breyta eignarhaldi $ tomcat í tomcat notanda

chown -R tomcat: tomcat tomcat /

Byrjaðu Tomcat og tryggðu að það gangi með Tomcat notanda

Fjarlægðu sjálfgefin / óæskileg forrit

Sjálfgefið er að Tomcat kemur með eftirfarandi vefforrit, sem kunna að vera nauðsynleg eða ekki í framleiðsluumhverfi.

Þú getur eytt þeim til að halda því hreinu og forðast alla þekkta öryggisáhættu með sjálfgefnu Tomcat forritinu.

  • ROOT – Sjálfgefin velkomin síða
  • Skjöl – Tomcat skjöl
  • Dæmi – JSP og servlets til sýnis
  • Framkvæmdastjóri, hýsingarstjóri – Tomcat stjórnun

Þau eru fáanleg undir $ tomcat / webapps möppunni

[[varið með tölvupósti] webapps] # ls -lt
drwxr-xr-x 14 tomcat tomcat 4096 29. september 29.26 docs
drwxr-xr-x 7 tomcat tomcat 4096 29. september 15:26 dæmi
drwxr-xr-x 5 tomcat tomcat 4096 29. september 15:26 hýsingarstjóri
drwxr-xr-x 5 tomcat tomcat 4096 29. september 15:26 framkvæmdastjóri
drwxr-xr-x 3 tomcat tomcat 4096 29. september 15:26 ROOT
[[varið með tölvupósti] webapps] #

Skiptu um SHUTDOWN port og stjórn

Sjálfgefið er að Tomcat sé stillt til að leggja niður í 8005 höfn.

Veistu að þú getur lokað fyrir Tomcat dæmi með því að gera telnet til IP: höfn og gefa út SHUTDOWN skipun?

Chandans # telnet localhost 8005
Reynt :: 1 … telnet:
tengjast heimilisfang :: 1:
Tenging neitaði að reyna 127.0.0.1…
Tengt við localhost.
Flóttapersóna er ‘^]’.
SLÖKKT Tengingu lokað af erlendum gestgjafa.
Chandans #

Hættulegur!

Þú sérð að það að hafa sjálfgefnar stillingar leiðir til mikillar öryggisáhættu.

Mælt er með því að breyta lokun hafnar fyrir Tomcat og sjálfgefna skipun í eitthvað óútreiknanlegt.

  • Breyta eftirfarandi í server.xml

8005 – Skiptu yfir í aðra ónotaða höfn

SLÖKKT – Skiptu yfir í eitthvað flókið

Fyrrverandi-

Skipta um 404, 403, 500 blaðsíðu sjálfgefið

Að hafa sjálfgefna síðu fyrir ekki að finna, bannað, villur á netþjóni afhjúpar upplýsingar um útgáfu.

Við skulum líta á sjálfgefna 404 síðuna.

Til að draga úr er fyrst hægt að búa til almenna villusíðu og stilla web.xml til að vísa á almenna villusíðu.

  • Farðu í $ tomcat / webapps / $ forrit
  • Búðu til villu.jsp skrá með því að nota vi ritstjóra

Villa síðu

Það er villa!

  • Farðu í $ tomcat / conf möppuna
  • Bættu eftirfarandi við í vefnum.xml skránni. Vertu viss um að bæta við áður en setningafræði

404
/error.jsp

403. mál
/error.jsp

500
/error.jsp

  • Endurræstu tomcat netþjóninn til að prófa hann

Miklu betra!

Þú getur gert þetta fyrir java.lang.Exception. Þetta hjálpar til við að afhjúpa ekki upplýsingar um Tomcat útgáfu ef einhver undantekning á Java er.

Bættu bara við eftirfarandi í web.xml og endurræstu tomcat netþjóninn.

java.lang. Minning
/error.jsp

Ég vona að ofangreind handbók gefi þér hugmynd um að tryggja Tomcat. Ef þú ert að leita að frekari upplýsingum um stjórnun Tomcat skaltu skoða þetta Rafræn fræðsla.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map