Apache Tomcat გამკვრივება და უსაფრთხოების სახელმძღვანელო

პრაქტიკული სახელმძღვანელო Apache Tomcat სერვერის გამკვრივებისა და უსაფრთხოების უზრუნველსაყოფად საუკეთესო პრაქტიკისთვის.


Tomcat არის ერთ ერთი ყველაზე პოპულარული Servlet და JSP Container სერვერები. მას იყენებენ მაღალი ტრაფიკის რამდენიმე ვებ – გვერდიდან:

  • LinkedIn.com
  • Dailymotionail.co.uk
  • Comcast.net
  • Wallmart.com
  • Reuters.com
  • Meetup.com
  • Webs.com

ქვემოთ მოცემულ გრაფიკზე მოცემულია Tomcat– ის ბაზრის პოზიცია Java პროგრამის სერვერში.

წყარო: Plumbr

ტექნიკურად, თქვენ შეგიძლიათ გამოიყენოთ Tomcat, როგორც წინა სერვერი, რომ უშუალოდ საიტის მოთხოვნებს მოემსახუროს. ამასთან, წარმოების გარემოში შეიძლება დაგჭირდეთ ზოგიერთი ვებ სერვერის გამოყენება, როგორიცაა Apache, Nginx, როგორც წინა ბოლოს, რომ თხოვნით მიმართოთ Tomcat.

ვებ სერვერის გამოყენებით მოთხოვნების მოსაგვარებლად იძლევა შესრულება და დაცვა სარგებელი. თუ იყენებთ Apache HTTP- ს, როგორც წინა ვებ – სერვერს, მაშინ ასევე უნდა გაითვალისწინოთ ამის უზრუნველყოფა.

Tomcat– ის ნაგულისხმევი კონფიგურაციის გამო შეიძლება გამოავლინოს მგრძნობიარე ინფორმაცია, რაც ჰაკერს ეხმარება განაცხადში თავდასხმისთვის მომზადებაში.

ქვემოთ მოცემულია ტომკატი 7.x, UNIX გარემო.

აუდიტორია

ეს განკუთვნილია Middleware ადმინისტრატორისთვის, პროგრამის მხარდაჭერისთვის, სისტემის ანალიტიკოსისთვის, ან ვინც მუშაობს ან სურს რომ ისწავლოს Tomcat გამკვრივება და უსაფრთხოება..

ტომკატის კარგი ცოდნა & UNIX ბრძანება სავალდებულოა.

შენიშვნები

ჩვენ გვჭირდება რამდენიმე ინსტრუმენტი, რომ გადაამოწმონ HTTP სათაურები გადამოწმებისთვის. ამის გაკეთების ორი გზა არსებობს.

თუ ტესტირება ინტერნეტით პროგრამა, შემდეგ შეგიძლიათ გამოიყენოთ შემდეგი HTTP Header ინსტრუმენტები, რომ შეამოწმოთ განხორციელება.

და ან ინტრანეტის პროგრამა, შეგიძლიათ გამოიყენოთ Google Chrome, Firefox დეველოპერული ინსტრუმენტები.

როგორც საუკეთესო პრაქტიკა, უნდა მიიღოთ ა სარეზერვო ნებისმიერი ფაილის შესწორებას აპირებთ.

ჩვენ დავურეკავთ Tomcat ინსტალაციის საქაღალდეს, როგორც $ tomcat მთელი ამ სახელმძღვანელო მითითებების განმავლობაში.

გავიაროთ გამკვრივება & პროცედურების უზრუნველყოფა.

ამოიღეთ სერვერის ბანერი

სერვერის ბანერის ამოღება HTTP Header– დან არის პირველი, რაც უნდა გააკეთოთ, როგორც გამკვრივება.

სერვერის ბანერის არსებობით გამოვლენთ თქვენს მიერ გამოყენებულ პროდუქტს და ვერსიას და იწვევს ინფორმაციის გაჟონვის დაუცველობას.

სტანდარტულად, Tomcat- ის სერვისის გვერდი ასე იქნება.

მოდით დავმალოთ პროდუქტისა და ვერსიის დეტალები სერვერის სათაურისგან.

  • გადადით $ tomcat / conf საქაღალდეში
  • სერვერის.xml მოდიფიცირება vi გამოყენებით
  • შემდეგ დაამატეთ კონექტორის პორტში

სერვერი = “”

მაგ: –

  • შეინახეთ ფაილი და გადატვირთეთ Tomcat. ახლა, როდესაც პროგრამაში შესვლისას, თქვენ უნდა ნახოთ სერვერის სათაურის ცარიელი მნიშვნელობა.

Tomcat- ის უსაფრთხოების მენეჯერთან დაწყება

უსაფრთხოების მენეჯერი გიცავს თქვენ ბრაუზერში გაშვებული არასანდო აპლეტიდან.

Tomcat- ის უსაფრთხოების მენეჯერთან გაშვება უკეთესია, ვიდრე გაუშვით. Tomcat- ს აქვს შესანიშნავი დოკუმენტაცია ტომკატის უსაფრთხოების მენეჯერი.

კარგი რამ არის ის, რომ თქვენ არ გჭირდებათ რაიმე კონფიგურაციის ფაილის შეცვლა. ეს არის მხოლოდ ის, რაც თქვენ ახორციელებთ startup.sh ფაილს.

თქვენ უნდა გააკეთოთ Tomcat– ის უსაფრთხოების არგუმენტით დაწყება.

[[ელ.ფოსტა დაცულია] bin] # ./startup.sh- უსაფრთხოება
CATALINA_BASE- ის გამოყენებით: / opt / tomcat
CATALINA_HOME- ის გამოყენებით: / opt / tomcat
CATALINA_TMPDIR- ის გამოყენებით: / opt / tomcat / temp
JRE_HOME გამოყენებით: / usr
CLASSPATH- ის გამოყენებით: /opt/tomcat/bin/bootstrap.jar:/opt/tomcat/bin/tomcat-juli.jar
უსაფრთხოების მენეჯერის გამოყენებით
დაიწყო ტომკატმა.
[[ელ.ფოსტა დაცულია] ურნა]#

ჩართეთ SSL / TLS

HTTPS- ზე ვებსაიტების მოთხოვნა ემსახურება კლიენტსა და Tomcat- ს შორის მონაცემების დასაცავად. იმისათვის, რომ თქვენი ვებ – პროგრამა ხელმისაწვდომი გახდეს HTTPS– ით, თქვენ უნდა განახორციელოთ SSL სერთიფიკატი.

ვარაუდობენ, რომ თქვენ უკვე გაქვთ სერტიფიკატი მზად, სერთიფიკატით, თქვენ შეგიძლიათ დაამატოთ ქვემოთ მოცემული სტრიქონი სერვერზე.xml ფაილში, კონექტორის პორტის სექციის ქვეშ..

SSLEnabled ="მართალია" სქემა ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="ჩანდანი" კლიენტიAuth ="ყალბი" sslProtocol ="TLS"

შეცვალეთ Keystore ფაილის სახელი და პაროლი.

თუ მთავარი დახმარება გჭირდებათ & CSR პროცესი, შემდეგ მიმართეთ ამ სახელმძღვანელოს.

განახორციელეთ HTTPS

ეს მოქმედებს მხოლოდ მაშინ, როდესაც SSL ჩართულია. თუ არა, ეს დაარღვევს განაცხადს.

SSL- ს ჩართვის შემდეგ, კარგი იქნება, რომ აიძულოთ HTTP– ს ყველა მოთხოვნის გადამისამართება მომხმარებლის შორის Tomcat პროგრამის სერვერზე უსაფრთხო კომუნიკაციისთვის..

  • გადადით $ tomcat / conf საქაღალდეში
  • შეცვალეთ web.xml vi გამოყენებით
  • შემდეგ დაამატეთ სინტაქსი

დაცული კონტექსტი
/ *

ᲙᲝᲜᲤᲘᲓᲔᲜᲪᲘᲐᲚᲣᲠᲘ

  • შეინახეთ ფაილი და გადატვირთეთ Tomcat

უსაფრთხო დამატება & დროშა Cookie– სთვის

შესაძლებელია ვებ – პროგრამის სესიისა და ქუქი – ფაილების მოპარვა ან მანიპულირება, უსაფრთხო cookie– ს გარეშე. ეს არის დროშა, რომელიც ინექცირდება სათაურის თავში.

ეს ხდება ვებ.xml ფაილის სესიის კონფიგურაციის განყოფილებაში ხაზის ქვემოთ დამატებით

მართალია
მართალია

კონფიგურაციის სურათი:

შეინახეთ ფაილი და გადატვირთეთ Tomcat, რომ შეისწავლოს HTTP პასუხის სათაური.

გაუშვით Tomcat არა პრივილეგირებული ანგარიშიდან

კარგია გამოიყენოთ Tomcat– ისთვის ცალკეული არაწესიერი მომხმარებელი. იდეა არის დავიცვათ სხვა სერვისების დაცვა, რომლებიც ანგარიშსწორდება ნებისმიერი ანგარიშის შემთხვევაში.

  • შექმენით UNIX მომხმარებელი, მოდით ვთქვათ tomcat

useradd tomcat

  • შეჩერეთ ტომკატი თუ სირბილი
  • $ Tomcat მფლობელობის შეცვლა მომხმარებლის tomcat- ში

chown -R tomcat: tomcat tomcat /

დაიწყეთ Tomcat და დარწმუნდით, რომ ის მოქმედებს tomcat მომხმარებელთან

წაშალეთ ნაგულისხმევი / არასასურველი პროგრამები

სტანდარტულად, Tomcat– ს აქვს შემდეგი ვებ – პროგრამები, რომელთა წარმოებაც შეიძლება საჭირო იყოს ან არ იყოს საჭირო.

თქვენ შეგიძლიათ წაშალოთ ისინი, რომ შეინარჩუნოთ სისუფთავე და თავიდან აიცილოთ უსაფრთხოების რაიმე ცნობილი რისკი Tomcat– ის ნაგულისხმევი პროგრამით.

  • ROOT – ნაგულისხმები მისასალმებელი გვერდი
  • დოკუმენტები – Tomcat დოკუმენტაცია
  • მაგალითები – JSP და servlets დემონსტრაციისთვის
  • მენეჯერი, მასპინძელი-მენეჯერი – ტომკატის ადმინისტრაცია

ისინი ხელმისაწვდომია $ tomcat / webapps საქაღალდის ქვეშ

[[ელ.ფოსტა დაცულია] webapps] # ls -lt
drwxr-xr-x 14 tomcat tomcat 4096 Sep 29 15:26 დოკუმენტები
drwxr-xr-x 7 tomcat tomcat 4096 Sep 29 15:26 მაგალითები
drwxr-xr-x 5 tomcat tomcat 4096 29 სექტ 29 15:26 მასპინძელი მენეჯერი
drwxr-xr-x 5 tomcat tomcat 4096 29 სექტ 29 15:26 მენეჯერი
drwxr-xr-x 3 tomcat tomcat 4096 Sep 29 15:26 ROOT
[[ელ.ფოსტა დაცულია] webapps] #

SHUTDOWN პორტის და ბრძანების შეცვლა

სტანდარტულად, tomcat კონფიგურებულია 8005 პორტის გამორთვაზე.

იცით თუ არა, რომ შეგიძლიათ tomcat- ის გამორთვა ტელეფონით IP: პორტის გაკეთებით და SHUTDOWN ბრძანების გაცემით?

Chandans # telnet localhost 8005
ცდილობს :: 1 … telnet:
დაკავშირება მისამართზე :: 1:
კავშირმა უარი თქვა 127.0.0.1-ს მცდელობაზე…
დაკავშირებულია ადგილობრივ ჰოსტთან.
გაქცევის ხასიათია ‘^]’.
SHUTDOWN კავშირი დახურულია უცხოელი მასპინძლის მიერ.
Chandans #

საშიში!

თქვენ ხედავთ, რომ კონფიგურაციის კონფიგურაცია იწვევს მაღალი უსაფრთხოების რისკს.

მიზანშეწონილია Tomcat- ის გამორთვის პორტის შეცვლა და ნაგულისხმევი ბრძანების შეცვლა რაღაც არაპროგნოზირებადი.

  • შემდეგი ცვლილებები სერვერში.xml

8005 – შეცვლა სხვა გამოუყენებელი პორტში

SHUTDOWN – შეიცვალეთ რაღაც გართულებაში

ექს-

შეცვალეთ ნაგულისხმევი 404, 403, 500 გვერდი

ნაპოვნი, აკრძალული, სერვერული შეცდომის ნაგულისხმევი გვერდი, რომელიც შეიცავს ვერსიის დეტალებს.

მოდით განვიხილოთ ნაგულისხმევი 404 გვერდი.

შესამცირებლად, პირველ რიგში შეგიძლიათ შექმნათ ზოგადი შეცდომის გვერდი და დააკონფიგურიროთ web.xml, შეცვალოთ ზოგადი შეცდომის გვერდი..

  • გადადით $ tomcat / webapps / $ პროგრამაში
  • შექმენით შეცდომა.jsp ფაილი vi რედაქტორის გამოყენებით

შეცდომის გვერდი

ეს შეცდომაა!

  • გადადით $ tomcat / conf საქაღალდეში
  • დაამატეთ შემდეგი ვებ.xml ფაილში. დარწმუნდით, რომ დაამატებთ სინტაქსს

404
/error.jsp

403
/error.jsp

500
/error.jsp

  • ჩატვირთეთ tomcat სერვერის შესამოწმებლად

Ბევრად უკეთესი!

ამის გაკეთება შეგიძლიათ java.lang.Exception ასევე. ეს ხელს შეუწყობს Tomcat ვერსიის ინფორმაციის არ გამოვლენას, თუ რაიმე Java Jang გამონაკლისია.

უბრალოდ დაამატეთ შემდეგ ვებ.xml და გადატვირთეთ tomcat სერვერი.

java.lang.გამოცემა
/error.jsp

იმედი მაქვს, რომ ზემოთ მოყვანილი სახელმძღვანელო მოგცემთ იდეას Tomcat– ის უზრუნველსაყოფად. თუ თქვენ ეძებთ უფრო მეტ ინფორმაციას Tomcat– ის ადმინისტრირების შესახებ, შეამოწმეთ ეს ონლაინ კურსი.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map