Apache Tomcat- ի կարծրացման և անվտանգության ուղեցույց

Apache Tomcat սերվերի կարծրացման և ապահովման գործնական ուղեցույց `լավագույն փորձերով.


Tomcat- ը ամենատարածված Servlet և JSP Container սերվերներից մեկն է: Այն օգտագործվում է հետևյալ բարձր երթևեկության վեբ կայքերի կողմից.

  • LinkedIn.com- ը
  • Dailymail.co.uk
  • Comcast.net
  • Wallmart.com
  • Reuters.com- ը
  • Meetup.com- ը
  • Webs.com- ը

Ստորև բերված գծապատկերում ներկայացված է Tomcat- ի շուկայական դիրքը Java ծրագրային սերվերում.

Աղբյուրը ՝ Plumbr

Տեխնիկապես, դուք կարող եք օգտագործել Tomcat- ը որպես առջևի սերվեր ՝ կայքի պահանջներն անմիջապես սպասարկելու համար: Այնուամենայնիվ, արտադրական միջավայրում գուցե ցանկանաք օգտագործել որոշ վեբ սերվերներ, ինչպիսիք են Apache- ն, Nginx- ը, որպես առջևի վերջ ՝ խնդրանքները Tomcat- ին ուղղելու համար.

Հայտերը կարգավորելու համար վեբ սերվեր օգտագործելը տալիս է կատարումը և անվտանգություն օգուտները. Եթե ​​դուք օգտագործում եք Apache HTTP- ը որպես առաջին ցանցի վեբ սերվեր, ապա պետք է նաև հաշվի առնել դա.

Tomcat- ի լռելյայն կազմաձևում ունենալը կարող է բացահայտել զգայուն տեղեկատվությունը, ինչը հակերին օգնում է նախապատրաստվել դիմումի վրա հարձակման.

Հետևյալները փորձարկվում են Tomcat 7.x, UNIX միջավայրում.

Հանդիսատես

Սա նախատեսված է Middleware ադմինիստրատորի, կիրառական աջակցության, համակարգի վերլուծաբանների կամ որևէ մեկի համար, ով աշխատում է կամ ցանկանում է սովորել Tomcat կարծրացում և անվտանգություն:.

Լավ գիտելիքներ Tomcat- ի մասին & UNIX հրամանը պարտադիր է.

Նոտաներ

Ստուգելու համար մենք պահանջում ենք որոշակի գործիք HTTP- ի վերնագրերը ստուգելու համար: Կարող եք դա անել երկու եղանակով.

Եթե ​​փորձարկում Ինտերնետային երեսպատման կիրառումը, ապա կարող եք օգտագործել հետևյալ HTTP Header գործիքները ՝ կատարումը ստուգելու համար.

Եվ դրա համար Ինտրանետ հավելված, կարող եք օգտագործել Google Chrome, Firefox մշակողի գործիքներ.

Որպես լավագույն փորձ, դուք պետք է ստանաք կրկնօրինակում ցանկացած ֆայլ, որը դուք պատրաստվում եք փոփոխել.

Մենք կկոչենք Tomcat Installation պանակ, ինչպես $ տոմատ այս ուղեցույցների ամբողջ ընթացքում.

Եկեք անցնենք կարծրացմանը & ապահովման կարգը.

Հեռացրեք սերվերի դրոշը

HTTP Header- ից սերվերի դրոշի հանումը առաջին գործերից է, որը պետք է արվի որպես կարծրացում.

Սերվերի դրոշի տակ ունենալը բացահայտում է ձեր օգտագործած ապրանքը և վարկածը և հանգեցնում է տեղեկատվության արտահոսքի խոցելիության.

Լռելյայն, Tomcat- ի կողմից սպասարկվող էջը ցույց կտա այսպիսին.

Եկեք թաքցնենք ապրանքի և վարկածի մանրամասները սերվերի վերնագրից.

  • Գնացեք $ tomcat / conf պանակ
  • Փոփոխեք սերվերը.xml ՝ օգտագործելով vi
  • Ավելացնել հետևյալը միակցիչ պորտին

Սերվեր = “”

Նախկին. –

  • Պահպանեք ֆայլը և վերագործարկեք Tomcat- ը: Այժմ, երբ դուք մուտք եք գործում դիմում, դուք պետք է տեսնեք դատարկ արժեք սերվերի վերնագրի համար.

Tomcat- ը սկսել անվտանգության մենեջերի հետ

Անվտանգության մենեջերը ձեզ պաշտպանում է ձեր զննարկիչում աշխատող անվստահելի հավելվածից.

Tomcat- ը անվտանգության մենեջերի հետ վազելն ավելի լավ է, քան առանց մեկի վազելը: Tomcat- ը հիանալի փաստաթղթեր ունի Tomcat անվտանգության մենեջեր.

Դրա մասին լավն այն է, որ ձեզ հարկավոր չէ փոխել կազմաձևման որևէ ֆայլ: Դա պարզապես այն ձևն է, որով դուք կատարում եք startup.sh ֆայլը.

Դուք պետք է միայն տոմատատը սկսեք `անվտանգության ապահովման փաստարկով.

[[փոստով պաշտպանված է] bin] # ./startup.sh -security
Օգտագործելով CATALINA_BASE ՝ / opt / tomcat
Օգտագործելով CATALINA_HOME` / opt / tomcat
Օգտագործելով CATALINA_TMPDIR ՝ / opt / tomcat / temp
Օգտագործելով JRE_HOME ՝ / usr
Օգտագործելով CLASSPATH ՝ /opt/tomcat/bin/bootstrap.jar:/opt/tomcat/bin/tomcat-juli.jar
Օգտագործելով անվտանգության մենեջեր
Tomcat- ը սկսվեց.
[[փոստով պաշտպանված է] աղբարկղ]#

Միացնել SSL / TLS

HTTPS- ի միջոցով վեբ հարցումների սպասարկումը անհրաժեշտ է հաճախորդի և Tomcat- ի միջև տվյալների պաշտպանության համար: Որպեսզի ձեր վեբ դիմումը հասանելի դառնա HTTPS- ի միջոցով, անհրաժեշտ է իրականացնել SSL վկայագիր.

Ենթադրելով ՝ դուք արդեն ունեք վկայագրով պատրաստ ստեղնաշար, դուք կարող եք ավելացնել տողի ներքո շարքը server.xml ֆայլում ՝ Միակցիչի պորտի բաժնում:.

SSLEnabled ="ճիշտ" սխեմա ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="չանդան" clientAuth ="կեղծ" sslProtocol ="TLS"

Փոխեք Keystore ֆայլի անունը և գաղտնաբառը ձեր հետ.

Եթե ​​օգնության կարիք ունեք հիմնական գրասենյակում & CSR գործընթաց, ապա դիմեք այս ուղեցույցին.

Կիրառել HTTPS- ը

Սա կիրառելի է միայն այն դեպքում, երբ SSL- ն միացված է: Եթե ​​ոչ, դա կկոտրի դիմումը.

SSL- ն միացնելուց հետո լավ կլինի ստիպել վերափոխել HTTP- ի բոլոր պահանջները `օգտագործողի միջև Tomcat ծրագրի սերվերին անվտանգ հաղորդակցվելու համար:.

  • Գնացեք $ tomcat / conf պանակ
  • Փոփոխեք web.xml ՝ օգտագործելով vi
  • Ավելացնել շարահյուսությունից առաջ հետևյալը

Պաշտպանված ենթատեքստ
/ *

ՀԱՂԹԱՆԱԿ

  • Պահպանեք ֆայլը և վերագործարկեք Tomcat- ը

Ապահով ավելացնել & HttpOnly դրոշը Cookie- ին

Հնարավոր է գողանալ կամ շահարկել վեբ դիմումների նիստը և բլիթները ՝ առանց ապահով cookie ունենալու: Դա դրոշ է, որը ներարկվում է պատասխանների վերնագրում.

Դա արվում է վեբ.xml ֆայլի նստաշրջանային կազմաձևման բաժնում տողի ներքևում ավելացնելով

ճիշտ
ճիշտ

Կազմաձևման պատկեր:

Պահպանեք ֆայլը և վերագործարկեք Tomcat- ը `ստուգելու HTTP արձագանքի վերնագիրը.

Գործարկել Tomcat- ը ոչ արտոնյալ հաշվից

Լավ է օգտագործել Tomcat- ի համար առանձին ոչ արտոնյալ օգտագործող: Այստեղ գաղափարը հետևյալն է ՝ պաշտպանել ցանկացած այլ գործի դեպքում, երբ ցանկացած վարկի դեպքում վարկաբեկվում է.

  • Ստեղծեք UNIX օգտվող, ասենք tomcat

useradd tomcat

  • Վազքի դեպքում դադարեցրեք Tomcat- ը
  • $ Tomcat- ի սեփականությունը փոխեք օգտվողի tomcat- ին

chown -R tomcat` tomcat tomcat /

Սկսեք Tomcat- ը և ապահովեք, որ այն գործում է tomcat օգտագործողի հետ

Հեռացրեք լռելյայն / անցանկալի ծրագրերը

Լռելյայն, Tomcat- ը գալիս է հետևյալ վեբ ծրագրերով, որոնք կարող են պահանջվել արտադրական միջավայրում.

Դուք կարող եք ջնջել դրանք `մաքուր պահելու և Tomcat- ի լռելյայն ծրագրով խուսափելու համար հայտնի անվտանգության ռիսկերից.

  • ROOT – Default ողջույնի էջ
  • Փաստաթղթեր – Tomcat փաստաթղթեր
  • Օրինակներ – JSP և ծառայողական ցուցադրություններ ցուցադրելու համար
  • Մենեջեր, հյուրընկալող-կառավարիչ – Tomcat- ի կառավարում

Դրանք հասանելի են $ tomcat / webapps պանակում

[[փոստով պաշտպանված է] webapps] # ls -lt
drwxr-xr-x 14 tomcat tomcat 4096 Sep 29 15:26 վարդ
drwxr-xr-x 7 tomcat tomcat 4096 Սեպ 29 15:26 օրինակներ
drwxr-xr-x 5 tomcat tomcat 4096 Sep 29 15:26 հյուրընկալող-մենեջեր
drwxr-xr-x 5 tomcat tomcat 4096 Sep 29 15:26 մենեջեր
drwxr-xr-x 3 tomcat tomcat 4096 Sep 29 15:26 ROOT
[[փոստով պաշտպանված է] webapps] #

Փոխեք SHUTDOWN նավահանգիստը և հրամանը

Լռելյայն, tomcat- ը կազմաձևված է որպես անջատում 8005 նավահանգստում.

Գիտե՞ք, որ կարող եք անջատել tomcat- ի օրինակը `IP- պորտին հեռահաղորդակցություն կատարելու միջոցով և SHUTDOWN հրամանը թողնելով?

Chandans # telnet localhost 8005
Փորձում է :: 1 … telnet:
միացնել հասցեին :: 1:
Միացումը հրաժարվեց փորձել 127.0.0.1…
Միացված է localhost- ին.
Փախուստի կերպարը ‘^]’.
SHUTDOWN Միացումը փակված է օտարերկրյա հյուրընկալողի կողմից.
Chandans #

Վտանգավոր!

Տեսնում եք, որ կանխադրված կազմաձևեր ունենալը հանգեցնում է բարձր անվտանգության ռիսկի.

Առաջարկվում է Tomcat անջատման պորտը և լռելյայն հրամանը փոխել անկանխատեսելի մի բանի.

  • Փոփոխեք հետևյալը սերվերի.xml- ում

8005 – Փոխեք մի քանի այլ չօգտագործված նավահանգիստ

SHUTDOWN – Փոփոխեք ինչ-որ բարդ բանի

Նախկին-

Փոխարինեք լռելյայն 404, 403, 500 էջ

Չգտնված, արգելված, սերվերի սխալի համար լռելյայն էջ ունենալը բացահայտում է տարբերակի մանրամասները.

Եկեք դիտարկենք լռելյայն 404 էջը.

Մեղմացնելու համար նախ կարող եք ստեղծել ընդհանուր սխալի էջ և կազմաձևել web.xml ՝ ընդհանուր սխալի էջին վերահղելու համար.

  • Գնացեք $ tomcat / webapps / $ դիմում
  • Ստեղծեք սխալի.jsp ֆայլ ՝ օգտագործելով vi խմբագիր

Սխալի էջ

Դա սխալ է!

  • Գնացեք $ tomcat / conf պանակ
  • Web.xml ֆայլում ավելացնել հետևյալը. Համոզվեք, որ ավելացրեք շարահյուսությունից առաջ

404
/error.jsp

403
/error.jsp

500-ը
/error.jsp

  • Վերագործարկեք tomcat սերվերը `փորձարկելու համար

Շատ ավելի լավ!

Դա կարող եք անել java.lang.Exception- ի համար նույնպես: Սա կօգնի չբացահայտել tomcat տարբերակի մասին տեղեկատվությունը, եթե առկա է java lang բացառություն.

Պարզապես ավելացրեք հետևյալը web.xml- ում և վերագործարկեք tomcat սերվերը.

java.lang.Exception
/error.jsp

Հուսով եմ, որ վերը նշված ուղեցույցը ձեզ հնարավորություն է տալիս Tomcat- ի անվտանգությունն ապահովելու գաղափար: Եթե ​​ցանկանում եք ավելին իմանալ Tomcat- ի կառավարման մասին, ապա դուրս եկեք սա առցանց դասընթաց.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map