Gabay sa Hardware at Security ng Apache Tomcat

Isang praktikal na gabay sa pagpapatigas at pag-secure ng Apache Tomcat Server na may pinakamahusay na kasanayan.


Ang Tomcat ay isa sa mga pinakatanyag na server ng Servlet at JSP Container. Ginagamit ito ng ilan sa pagsunod sa mga mataas na website ng trapiko:

  • LinkedIn.com
  • Kanto.com
  • Comcast.net
  • Wallmart.com
  • Reuters.com
  • Meetup.com
  • Webs.com

Sa ibaba ng tsart ay nagpapakita ng posisyon ng merkado ng Tomcat sa Java server ng application.

Pinagmulan: Plumbr

Sa teknikal, maaari mong gamitin ang Tomcat bilang isang front-end server upang direktang maghatid ng mga kahilingan sa site. Gayunpaman, sa isang kapaligiran ng produksyon, maaaring gusto mong gumamit ng ilang mga web server tulad ng Apache, Nginx bilang front-end upang ruta ang mga kahilingan sa Tomcat.

Gamit ang isang web server upang hawakan ang mga kahilingan na ibinibigay pagganap at seguridad benepisyo. Kung gumagamit ka ng Apache HTTP bilang isang front-end web server, dapat mo ring isaalang-alang ang pag-secure din.

Ang pagkakaroon ng default na pagsasaayos ng Tomcat ay maaaring ilantad ang sensitibong impormasyon, na tumutulong sa hacker na maghanda para sa isang pag-atake sa application.

Ang mga sumusunod ay nasubok sa Tomcat 7.x, kapaligiran ng UNIX.

Madla

Ito ay dinisenyo para sa Administrator ng Middleware, Suporta sa Application, System Analyst, o sinumang nagtatrabaho o sabik na malaman ang Hardware ng Tomcat at Seguridad.

Magandang kaalaman sa Tomcat & Ang utos ng UNIX ay sapilitan.

Mga Tala

Kailangan namin ang ilang tool upang suriin ang mga header ng HTTP para sa pagpapatunay. Mayroong dalawang mga paraan na magagawa mo ito.

Kung pagsubok Nakaharap sa Internet application, pagkatapos ay maaari mong gamitin ang mga sumusunod na tool sa HTTP Header upang mapatunayan ang pagpapatupad.

At para sa isang Application ng Intranet, maaari mong gamitin ang mga tool sa developer ng Google Chrome, Firefox.

Bilang isang pinakamahusay na kasanayan, dapat kang kumuha ng backup ng anumang file na nais mong baguhin.

Tatawagan namin ang folder ng Pag-install ng Tomcat $ tomcat sa buong patnubay na ito.

Dumaan tayo sa hardening & pag-secure ng mga pamamaraan.

Alisin ang Banner ng Server

Ang pag-alis ng Server Banner mula sa HTTP Header ay isa sa mga unang bagay na dapat gawin bilang hardening.

Ang pagkakaroon ng isang banner banner ay ilantad ang produkto at bersyon na iyong ginagamit at humahantong sa kahinaan ng impormasyon ng leakage.

Bilang default, ang isang pahina na ihahatid ng Tomcat ay magpapakita tulad nito.

Itago ang mga detalye ng produkto at bersyon mula sa header ng Server.

  • Pumunta sa $ tomcat / conf folder
  • Baguhin ang server.xml sa pamamagitan ng paggamit ng vi
  • Magdagdag ng pagsunod sa port ng Connector

Server = “”

Hal: –

  • I-save ang file at i-restart ang Tomcat. Ngayon, kapag na-access mo ang isang application, dapat mong makita ang isang blangkong halaga para sa header ng Server.

Simula sa Tomcat sa isang Security Manager

Pinoprotektahan ka ng Security Manager mula sa isang hindi pinagkakatiwalaang applet na tumatakbo sa iyong browser.

Ang pagpapatakbo ng Tomcat na may isang security manager ay mas mahusay kaysa sa pagtakbo nang walang isa. Ang Tomcat ay may mahusay na dokumentasyon sa Tomcat Security Manager.

Ang magandang bagay tungkol dito ay hindi mo kailangang baguhin ang anumang file ng pagsasaayos. Ito lamang ang paraan ng pagpapatupad ng startup.sh file.

Ang kailangan mo lang gawin ay upang simulan ang tomcat na may -security argument.

[[protektado ng email] bin] # ./startup.sh-katiwasayan
Paggamit ng CATALINA_BASE: / opt / tomcat
Paggamit ng CATALINA_HOME: / opt / tomcat
Paggamit ng CATALINA_TMPDIR: / opt / tomcat / temp
Paggamit ng JRE_HOME: / usr
Gamit ang CLASSPATH: /opt/tomcat/bin/bootstrap.jar:/opt/tomcat/bin/tomcat-juli.jar
Paggamit ng Security Manager
Nagsimula si Tomcat.
[[protektado ng email] bin] #

Paganahin ang SSL / TLS

Ang paghahatid ng mga kahilingan sa web sa paglipas ng HTTPS ay mahalaga upang maprotektahan ang data sa pagitan ng kliyente at Tomcat. Upang ma-access ang iyong web application sa pamamagitan ng HTTPS, kailangan mong ipatupad ang SSL certificate.

Sa pag-aakalang mayroon ka nang keystore na handa sa sertipiko, maaari kang magdagdag sa ibaba ng linya sa server.xml file sa ilalim ng seksyon ng Port ng Konektor.

SSLEnabled ="totoo" iskema ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="chandan" kliyenteAuth ="mali" sslProtocol ="TLS"

Baguhin ang pangalan ng file at password ng Keystore sa iyo.

Kung kailangan mo ng tulong sa keystore & Ang proseso ng CSR, pagkatapos ay sumangguni sa gabay na ito.

Pagpapatupad ng HTTPS

Naaangkop lamang ito kapag pinagana mo ang SSL. Kung hindi, masisira ang application.

Kapag pinapagana mo ang SSL, mabuti na pilitin ang pag-redirect ng lahat ng mga kahilingan sa HTTP sa HTTPS para sa ligtas na komunikasyon sa pagitan ng application ng user sa Tomcat.

  • Pumunta sa $ tomcat / conf folder
  • Baguhin ang web.xml sa pamamagitan ng paggamit ng vi
  • Magdagdag ng sumusunod bago syntax

Proteksyon na Konteksto
/ *

NILALAMAN

  • I-save ang file at i-restart ang Tomcat

Magdagdag ng Secure & HttpOnly flag sa Cookie

Posible na nakawin o manipulahin ang sesyon ng aplikasyon sa web at cookies nang walang pagkakaroon ng isang ligtas na cookie. Ito ay isang watawat na na-injected sa header ng tugon.

Ginagawa ito sa pamamagitan ng pagdaragdag sa ibaba ng linya sa seksyon ng config-config ng web.xml file

totoo
totoo

Pag-configure ng screenshot:

I-save ang file at i-restart ang Tomcat upang suriin ang header ng tugon ng HTTP.

Patakbuhin ang Tomcat mula sa di-pribadong Account

Mahusay na gumamit ng isang hiwalay na di-pribadong gumagamit para sa Tomcat. Ang ideya dito ay upang maprotektahan ang iba pang mga serbisyo na tumatakbo kung sakaling magkaroon ng kompromiso ang anumang account.

  • Lumikha ng isang gumagamit ng UNIX, sabihin natin ang tomcat

useradd tomcat

  • Itigil ang Tomcat kung tumatakbo
  • Baguhin ang pagmamay-ari ng $ tomcat sa gumagamit ng tomcat

chown -R tomcat: tomcat tomcat /

Simulan ang Tomcat at matiyak na tumatakbo ito sa gumagamit ng tomcat

Alisin ang default / hindi ginustong Mga Aplikasyon

Bilang default, ang Tomcat ay may kasunod na mga aplikasyon sa web, na maaaring o hindi kinakailangan sa isang kapaligiran sa paggawa.

Maaari mong tanggalin ang mga ito upang mapanatili itong malinis at maiwasan ang anumang kilalang panganib sa seguridad na may application na default ng Tomcat.

  • ROOT – Default na pahina ng maligayang pagdating
  • Dok – Dokumentasyon ng Tomcat
  • Mga halimbawa – JSP at servlet para sa demonstrasyon
  • Manager, host-manager – Administrasyong Tomcat

Magagamit ang mga ito sa ilalim ng $ tomcat / folder ng webapp

[[protektado ng email] webapps] # ls -lt
drwxr-xr-x 14 tomcat tomcat 4096 Sep 29 15:26 doc
drwxr-xr-x 7 tomcat tomcat 4096 Sep 29 15:26 halimbawa
drwxr-xr-x 5 tomcat tomcat 4096 Sep 29 15:26 host-manager
drwxr-xr-x 5 tomcat tomcat 4096 Sep 29 15:26 manager
drwxr-xr-x 3 tomcat tomcat 4096 Sep 29 15:26 ROOT
[[protektado ng email] webapps #

Baguhin ang SHUTDOWN port at Command

Bilang default, naka-configure ang tomcat upang isara ang port sa 8005.

Alam mo ba na maaari mong isara ang halimbawa ng tomcat sa pamamagitan ng paggawa ng isang telnet sa IP: port at paglabas ng utos ng SHUTDOWN?

Chandans # telnet localhost 8005
Pagsubok :: 1 … telnet:
kumonekta sa address :: 1:
Tumanggi ang koneksyon Sinubukan ang 127.0.0.1…
Nakakonekta sa localhost.
Ang character na makatakas ay ‘^]’.
Ang SHUTDOWN Connection ay sarado ng dayuhang host.
Chandans #

Mapanganib!

Nakikita mo, ang pagkakaroon ng default na pagsasaayos ay humahantong sa panganib na may mataas na seguridad.

Inirerekumenda na baguhin ang tomcat shutdown port at default na utos sa isang bagay na hindi mahuhulaan.

  • Baguhin ang sumusunod sa server.xml

8005 – Palitan sa ilang iba pang hindi nagamit na port

SHUTDOWN – Baguhin ang isang kumplikado

Hal-

Palitan ang default 404, 403, 500 na pahina

Ang pagkakaroon ng default na pahina para sa hindi nahanap, ipinagbabawal, ang error sa server ay naglalantad ng mga detalye ng bersyon.

Tingnan ang default na 404 na pahina.

Upang mapagaan, maaari ka munang lumikha ng isang pangkalahatang pahina ng error at i-configure ang web.xml upang mai-redirect sa isang pangkalahatang pahina ng error.

  • Pumunta sa $ tomcat / webapps / $ application
  • Lumikha ng isang error.jsp file gamit ang vi editor

Pahina ng Error

Iyon ay isang error!

  • Pumunta sa $ tomcat / conf folder
  • Idagdag ang sumusunod sa file ng web.xml. Tiyakin na magdagdag ka bago ang syntax

404
/error.jsp

403
/error.jsp

500
/error.jsp

  • I-restart ang server ng tomcat upang subukan ito

Mas mabuti!

Maaari mo itong gawin para sa java.lang.Exception din. Makakatulong ito sa hindi paglantad ng impormasyon ng bersyon ng tomcat kung may anumang java lang exception.

Magdagdag lamang ng pagsunod sa web.xml at i-restart ang tomcat server.

java.lang.Exception
/error.jsp

Inaasahan ko na ang gabay sa itaas ay nagbibigay sa iyo ng isang ideya ng pag-secure ng Tomcat. Kung nais mong malaman ang higit pa tungkol sa pamamahala ng Tomcat, pagkatapos ay suriin ito kurso sa online.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map