Apache Tomcat Sərtləşmə və Təhlükəsizlik Təlimatı

Ən yaxşı təcrübələrlə Apache Tomcat Serverini sərtləşdirmək və təmin etmək üçün praktik bələdçi.


Tomcat ən məşhur Servlet və JSP Konteyner serverlərindən biridir. Aşağıdakı bəzi yüksək trafik saytları tərəfindən istifadə olunur:

  • LinkedIn.com
  • Dailymail.co.uk
  • Comcast.net
  • Wallmart.com
  • Reuters.com
  • Meetup.com
  • Veb saytları

Aşağıdakı cədvəl Java tətbiqetmə serverindəki Tomcat-ın bazar mövqeyini göstərir.

Mənbə: Plumbr

Texniki olaraq, Tomcat’ı birbaşa sayt sorğularına xidmət etmək üçün ön bir server olaraq istifadə edə bilərsiniz. Bununla birlikdə, bir istehsal mühitində, müraciətləri Tomcat’a yönəltmək üçün Apache, Nginx kimi bəzi veb serverlərdən istifadə etmək istəyə bilərsiniz..

İstəkləri idarə etmək üçün bir veb server istifadə edir performanstəhlükəsizlik faydaları. Apache HTTP’yi ön bir veb server olaraq istifadə edirsinizsə, bunun da təmin edilməsini düşünməlisiniz.

Defolt Tomcat konfiqurasiyasına sahib olmaq hakerin tətbiqə hücum üçün hazırlaşmasına kömək edən həssas məlumatlara səbəb ola bilər.

Aşağıdakılar Tomcat 7.x, UNIX mühitində sınaqdan keçirilir.

Tamaşaçılar

Bu, Orta Proqram İdarəçisi, Tətbiq Dəstəyi, Sistem analitiki və ya işləyən və ya Tomcat Hardening və Təhlükəsizlik öyrənmək istəyən hər kəs üçün hazırlanmışdır.

Tomcat haqqında yaxşı məlumat & UNIX əmri məcburidir.

Qeydlər

Doğrulama üçün HTTP başlıqlarını yoxlamaq üçün bir vasitə tələb edirik. Bunun iki yolu var.

Test etsəniz İnternetə baxan tətbiqi, sonra tətbiqini yoxlamaq üçün aşağıdakı HTTP başlıq vasitələrindən istifadə edə bilərsiniz.

Və bir üçün İntranet tətbiqi, Google Chrome, Firefox geliştirici vasitələrindən istifadə edə bilərsiniz.

Ən yaxşı təcrübə olaraq, etməlisiniz ehtiyat dəyişdirmək istədiyiniz hər hansı bir fayldan.

Tomcat Quraşdırma qovluğunu olduğu kimi çağıracağıq $ tomcat bu təlimatlar boyunca.

Sərtləşməyə keçək & təmin prosedurları.

Server Bannerini çıxarın

Server Bannerini HTTP başlığından silmək, sərtləşmə kimi ilk işlərdən biridir.

Bir server bannerinə sahib olduğunuz məhsul və versiyanı ifşa edir və məlumat sızması zəifliyinə səbəb olur.

Varsayılan olaraq, Tomcat’ın xidmət etdiyi bir səhifə bu kimi görünəcəkdir.

Məhsul və versiya təfərrüatlarını Server başlığından gizlətək.

  • $ Tomcat / conf qovluğuna gedin
  • Vi istifadə edərək server.xml dəyişdirin
  • Bağlayıcı portuna aşağıdakıları əlavə edin

Server = “”

Məsələn: –

  • Faylı qeyd edin və Tomcat-ı yenidən başladın. İndi bir tətbiqə girdiyiniz zaman Server başlığı üçün boş bir dəyər görməlisiniz.

Təhlükəsizlik meneceri ilə Tomcat’dan başlayırıq

Təhlükəsizlik Meneceri sizi brauzerinizdə işləyən etibarsız bir tətbiqetmədən qoruyur.

Təhlükəsizlik meneceri ilə Tomcat işlətmək, onsuz çalışmaqdan yaxşıdır. Tomcat’ın əla sənədləri var Tomcat Təhlükəsizlik Meneceri.

Bunun yaxşı tərəfi, hər hansı bir konfiqurasiya faylını dəyişdirməyə ehtiyac yoxdur. Yalnız startup.sh faylını icra etdiyiniz bir yoldur.

Etməli olduğunuz şey, etibarlılıq arqumenti ilə tomcata başlamaqdır.

[[e-poçt qorunur] bin] # ./startup.sh -qorumaq
CATALINA_BASE istifadə: / opt / tomcat
CATALINA_HOME istifadə: / opt / tomcat
CATALINA_TMPDIR istifadə: / opt / tomcat / temp
JRE_HOME istifadə: / usr
CLASSPATH istifadə: /opt/tomcat/bin/bootstrap.jar:/opt/tomcat/bin/tomcat-juli.jar
Təhlükəsizlik menecerindən istifadə
Tomcat başladı.
[[e-poçt qorunur] zibil qabı]#

SSL / TLS aktivləşdirin

HTTPS üzərindən veb sorğularına xidmət etmək, müştəri və Tomcat arasındakı məlumatları qorumaq üçün vacibdir. Veb tətbiqinizi HTTPS vasitəsilə əlçatan etmək üçün SSL sertifikatı tətbiq etməlisiniz.

Artıq sertifikatla açar anbarınızı hazırladığınıza inanaraq, bağlantı portu bölməsində altındakı xəttini server.xml faylına əlavə edə bilərsiniz..

SSLEnaktiv ="doğru" sxem ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="çandan" clientAuth ="yalan" sslProtocol ="TLS"

Keystore fayl adını və şifrənizi özünüzlə dəyişdirin.

Açar anbarı ilə kömək lazım olarsa & KSM prosesi, sonra bu təlimata baxın.

HTTPS tətbiq edin

Bu yalnız SSL aktiv olduqda tətbiq olunur. Əgər deyilsə, tətbiqi pozacaq.

SSL aktivləşdirdikdən sonra istifadəçi arasında təhlükəsiz əlaqə üçün Tomcat tətbiqi serverinə bütün HTTP sorğularını HTTPS-ə yönləndirmək yaxşı olardı..

  • $ Tomcat / conf qovluğuna gedin
  • Vi istifadə edərək web.xml dəyişdirin
  • Sintaksisdən əvvəl aşağıdakıları əlavə edin

Qorunan kontekst
/ *

GİZLİ

  • Faylı qeyd edin və Tomcat-ı yenidən başladın

Təhlükəsiz əlavə edin & Cookie-yə yalnız bayraq

Etibarlı bir peçenye olmadan veb tətbiq sessiyası və çərəzləri oğurlamaq və ya manipulyasiya etmək mümkündür. Cavab başlığına vurulan bayraqdır.

Bu web.xml faylının sessiya-konfiqurasiya bölümünə sətrin altına əlavə etməklə edilir

doğru
doğru

Konfiqurasiya görüntüsü:

Faylı qeyd edin və HTTP cavabının başlığını yoxlamaq üçün Tomcat-ı yenidən başladın.

İmtiyazsız Hesabdan Tomcat işlədin

Tomcat üçün ayrı bir imtiyazsız istifadəçidən istifadə etmək yaxşıdır. Burada fikir, hər hansı bir hesabın pozulduğu təqdirdə digər xidmətlərin qorunmasıdır.

  • UNIX istifadəçisi yaradın, deyək ki tomcat

useradd tomcat

  • Tomcat çalışırsa dayandırın
  • $ Tomcat mülkiyyətini istifadəçi tomcatına dəyişdirin

çalınan -R tomcat: tomcat tomcat /

Tomcat-a başlayın və tomcat istifadəçisi ilə işlədiyini təmin edin

Defolt / istenmeyen Tətbiqləri silin

Varsayılan olaraq, Tomcat bir istehsal mühitində tələb olunmayan və ya tələb olunmayan aşağıdakı veb tətbiqetmələrlə gəlir.

Təmiz saxlamaq və Tomcat standart tətbiqetmə ilə hər hansı bir məlum təhlükəsizlik riskini qarşısını almaq üçün onları silə bilərsiniz.

  • Kök – Defolt qarşılama səhifəsi
  • Sənədlər – Tomcat sənədləri
  • Misallar – JSP və nümayiş üçün servletlər
  • Menecer, host-menecer – Tomcat rəhbərliyi

Onlar $ tomcat / webapps qovluğu altında mövcuddur

[[e-poçt qorunur] webapps] # ls -lt
drwxr-xr-x 14 tomcat tomcat 4096 Sep 29 15:26 sənədlər
drwxr-xr-x 7 tomcat tomcat 4096 Sep 29 15:26 misallar
drwxr-xr-x 5 tomcat tomcat 4096 Sep 29 15:26 host-menecer
drwxr-xr-x 5 tomcat tomcat 4096 Sep 29 15:26 menecer
drwxr-xr-x 3 tomcat tomcat 4096 Sep 29 15:26 Kök
[[e-poçt qorunur] webapps] #

SHUTDOWN portunu və əmrini dəyişdirin

Varsayılan olaraq, tomcat 8005 limanında bağlanacaq şəkildə qurulur.

IP-yə bir telnet etməklə tomcat instansiyasını bağlaya biləcəyinizi bilirsinizmi??

Chandans # telnet localhost 8005
Çalışırıq: 1 … telnet:
ünvana qoşulun :: 1:
Bağlantı imtina edildi 127.0.0.1…
Localhost-a qoşulub.
Qaçmaq xarakteri ‘^]’ dir.
SHUTDOWN Bağlantısı xarici ev sahibi tərəfindən bağlandı.
Chandans #

Təhlükəli!

Defolt konfiqurasiyanın olması yüksək təhlükəsizlik riskinə səbəb olur.

Tacat bağlama limanını və standart əmrini gözlənilməz bir şeyə dəyişdirmək tövsiyə olunur.

  • Server.xml-də aşağıdakıları dəyişdirin

8005 – Bəzi istifadə olunmamış limana dəyişdirin

YAXŞI – Mürəkkəb bir şeyə dəyişdirin

Ex-

Defolt 404, 403, 500 səhifəni dəyişdirin

Tapılmamış, qadağan edilmiş standart səhifəyə sahib olmaq, server səhvləri versiya təfərrüatlarını üzə çıxarır.

Defolt 404 səhifəsinə baxaq.

Yüngülləşdirmək üçün əvvəlcə ümumi bir səhv səhifəsi yarada və ümumi bir səhv səhifəsinə yönləndirmək üçün web.xml konfiqurasiya edə bilərsiniz..

  • $ Tomcat / webapps / $ tətbiqetməsinə keçin
  • Vi redaktorundan istifadə edərək bir səhv.jsp faylı yaradın

Səhv səhifəsi

Bu səhvdir!

  • $ Tomcat / conf qovluğuna gedin
  • Web.xml faylına aşağıdakıları əlavə edin. Sintaksisdən əvvəl əlavə etdiyinizə əmin olun

404
/error.jsp

403
/error.jsp

500
/error.jsp

  • Test etmək üçün tomcat serverini yenidən başladın

Daha yaxşı!

Bunu java.lang.Exception üçün də edə bilərsiniz. Bu, hər hansı bir java dil istisna olmaqla, tomcat versiyası barədə məlumatları açıqlamamağa kömək edəcəkdir.

Yalnız aşağıdakıları web.xml əlavə edin və tomcat serverini yenidən başladın.

java.lang.qiymətləndirmə
/error.jsp

Ümid edirəm ki, yuxarıdakı bələdçi Tomcat-ı təmin etmək üçün bir fikir verir. Tomcat administrasiyası haqqında daha çox məlumat əldə etmək istəyirsinizsə, bu barədə məlumat verin onlayn kurs.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map