Apache Tomcat edzési és biztonsági útmutató

Gyakorlati útmutató az Apache Tomcat Server edzéséhez és biztonságához a legjobb gyakorlatokkal.


A Tomcat az egyik legnépszerűbb Servlet és JSP Container szerver. Ezt a következő nagy forgalmú webhelyek használják:

  • LinkedIn.com
  • Dailymail.co.uk
  • Comcast.net
  • Wallmart.com
  • Reuters.com
  • Meetup.com
  • Webs.com

Az alábbi ábra a Tomcat piaci pozícióját mutatja a Java alkalmazáskiszolgálón.

Forrás: Plumbr

Technikai szempontból a Tomcat felhasználható front-end szerverként a webhely-kérelmek közvetlen kiszolgálására. A termelési környezetben azonban érdemes lehet egyes webkiszolgálókat, például Apache, Nginx, kezelni előtérként a kérések Tomcat felé irányításához..

A kérések kezelésére szolgáló webszerver segítségével megadható teljesítmény és Biztonság előnyeit. Ha Apache HTTP-t használ front-end webszerverként, akkor ezt is meg kell fontolnia.

Az alapértelmezett Tomcat-konfiguráció használata érzékeny információkat fedhet fel, ami elősegíti a hackerek felkészülését az alkalmazás támadására.

Az alábbiakat a Tomcat 7.x, UNIX környezetben teszteljük.

Közönség

Ezt a Middleware rendszergazdát, az alkalmazástámogatást, a rendszerelemzőt, valamint a Tomcat edzését és biztonságát tanulni vágyó személyek számára tervezték..

Jól ismeri a Tomcatot & A UNIX parancs kötelező.

Megjegyzések

Szükségünk van néhány eszközre a HTTP fejlécek ellenőrzés céljából történő vizsgálatához. Kétféle módon lehet ezt megtenni.

Ha tesztelés Internet néző alkalmazás, akkor a következő HTTP fejléc eszközöket használhatja a végrehajtás ellenőrzéséhez.

És egy Intranet alkalmazás, használhatja a Google Chrome, a Firefox fejlesztői eszközöket.

Bevált gyakorlatként a biztonsági mentés minden olyan fájlról, amelyet módosítani szeretne.

A Tomcat telepítési mappáját hívjuk $ tomcat ezen iránymutatások során.

Menjünk át a keményedésen & biztosító eljárások.

Távolítsa el a Szerver szalaghirdetést

A kiszolgálói szalaghirdetés eltávolítása a HTTP fejlécből az egyik első lépés, amelyet keményítésként kell megtenni.

A kiszolgáló szalaghirdetés felfedi a felhasznált terméket és verziót, és az információszivárgást okozhat.

Alapértelmezés szerint a Tomcat által szolgáltatott oldal így fog megjelenni.

Rejtsük el a termék és verzió részleteit a Kiszolgáló fejlécében.

  • Lépjen a $ tomcat / conf mappába
  • Módosítsa a server.xml fájlt a vi használatával
  • A következőt kell hozzáadni a Csatlakozó porthoz

Szerver = ”“

Például: –

  • Mentse el a fájlt, és indítsa újra a Tomcat szoftvert. Most, amikor hozzáfér egy alkalmazáshoz, üres értéket kell látnia a Szerver fejlécben.

A Tomcat indítása biztonsági menedzserrel

A Security Manager megvédi Önt a böngészőjében futó nem megbízható kisalkalmazásoktól.

Jobb, ha a Tomcatot egy biztonsági menedzserrel futtatja, mint egy nélkül. A Tomcat kiváló dokumentációval rendelkezik Tomcat biztonsági menedzser.

A jó dolog az, hogy nem kell módosítania a konfigurációs fájlt. Ez csak a startup.sh fájl végrehajtásának módja.

Csak annyit kell tennie, hogy elkezdi a sérülést a biztonság-érveléssel.

[[Email protected] bin] # ./startup.sh -biztonság
A CATALINA_BASE használata: / opt / tomcat
A CATALINA_HOME használatával: / opt / tomcat
A CATALINA_TMPDIR használatával: / opt / tomcat / temp
A JRE_HOME használatával: / usr
A CLASSPATH használata: /opt/tomcat/bin/bootstrap.jar:/opt/tomcat/bin/tomcat-juli.jar
A Security Manager használata
– kezdte a Tomcat.
[[Email protected] kuka]#

SSL / TLS engedélyezése

A webes kérések HTTPS-n keresztüli kiszolgálása elengedhetetlen az ügyfél és a Tomcat közötti adatok védelméhez. Annak érdekében, hogy a webalkalmazás elérhető legyen a HTTPS-en keresztül, be kell építenie az SSL tanúsítványt.

Feltételezve, hogy a kulcstároló már készen áll a tanúsítvánnyal, a server.xml fájl alatti sort felveheti a Csatlakozó port szakaszába.

SSLEnabled ="igaz" rendszer ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="chandan" clientAuth ="hamis" sslProtocol ="TLS"

Változtassa meg a Keystore fájl nevét és jelszavát.

Ha segítségre van szüksége a kulcstárolóban & A CSR folyamata, majd olvassa el ezt az útmutatót.

A HTTPS érvényesítése

Ez csak akkor alkalmazható, ha engedélyezte az SSL-t. Ha nem, akkor az megszakítja az alkalmazást.

Miután engedélyezte az SSL-t, jó lenne minden HTTP-kérést átirányítani a HTTPS-re a felhasználó és a Tomcat alkalmazáskiszolgáló közötti biztonságos kommunikáció érdekében..

  • Lépjen a $ tomcat / conf mappába
  • Módosítsa a web.xml fájlt a vi használatával
  • Szöveg hozzáadása a szintaxis előtt

Védett környezet
/ *

BIZALMAS

  • Mentse el a fájlt, és indítsa újra a Tomcat szoftvert

Add Secure & HttpCsak jelölje meg a Cookie-t

A webes alkalmazás-munkamenetet és a sütiket biztonságos süti nélkül is ellophatják vagy manipulálhatják. Ez egy zászló, amelyet beillesztünk a válasz fejlécébe.

Ehhez hozzá kell adni a sort a web.xml fájl munkamenet-konfigurációs szakaszához

igaz
igaz

Konfiguráció képernyőképe:

Mentse el a fájlt, és indítsa újra a Tomcat-ot, hogy megvizsgálja a HTTP válasz fejlécét.

Futtassa a Tomcat szoftvert nem privilegizált fiókból

Jó, ha külön nem kiváltságos felhasználót használunk a Tomcat számára. Az ötlet az, hogy megvédjük a többi szolgáltatást, ha valamelyik fiók veszélybe kerül.

  • Hozzon létre egy UNIX felhasználót, mondjuk tomcat

Használd a tomcatot

  • Állítsa le a Tomcat-ot, ha fut
  • A $ tomcat tulajdonjogát cserélje felhasználói tomcatra

chown -R tomcat: tomcat tomcat /

Indítsa el a Tomcat készüléket, és ellenőrizze, hogy fut a tomcat felhasználóval

Távolítsa el az alapértelmezett / nem kívánt alkalmazásokat

Alapértelmezés szerint a Tomcat a következő webalkalmazásokkal érkezik, amelyek előfordulhatnak, hogy a termelési környezetben szükségesek vagy nem.

A Tomcat alapértelmezett alkalmazásával törölheti azokat tisztán tartása és az ismert biztonsági kockázatok elkerülése érdekében.

  • ROOT – alapértelmezett üdvözlő oldal
  • Docs – Tomcat dokumentáció
  • Példák – JSP és szervlet a demonstrációhoz
  • Menedzser, host-manager – Tomcat adminisztráció

A $ tomcat / webapps mappában érhetők el

[[Email protected] webapps] # ls-lt
drwxr-xr-x 14 tomcat tomcat 4096 29. szeptember 15:26 docs
drwxr-xr-x 7 tomcat tomcat 4096 29. szeptember 15:26
drwxr-xr-x 5 tomcat tomcat 4096 29. szeptember 15:26 host-manager
drwxr-xr-x 5 tomcat tomcat 4096 29. szeptember 15:26 menedzser
drwxr-xr-x 3 tomcat tomcat 4096 29. szeptember 15:26 Gyökér
[[Email protected] webapps] #

Változtassa meg a SHUTDOWN portot és a parancsot

Alapértelmezés szerint a tomcat a 8005-es porton van beállítva.

Tudja, hogy leállíthatja-e a tomcatpéldányt egy telnet létrehozásával az IP: portra és a SHUTDOWN parancs kiadásával?

Chandans # telnet localhost 8005
Kipróbálás :: 1 … telnet:
csatlakozni a címhez :: 1:
A kapcsolat megtagadva A 127.0.0.1 kipróbálása…
Csatlakoztatva a localhost-hoz.
A menekülési karakter ‘^]’.
KIKAPCSOLÁS A kapcsolatot külföldi házigazda zárta.
Chandans #

Veszélyes!

Látja, hogy az alapértelmezett konfiguráció magas biztonsági kockázatot jelent.

Javasoljuk, hogy a tomcat leállítási portját és az alapértelmezett parancsot változtasson valami kiszámíthatatlanra.

  • Módosítsa a következőt a server.xml fájlban

8005 – Váltás más nem használt portra

SHUTDOWN – Váltás valami bonyolultra

Volt-

Cserélje ki az alapértelmezett 404, 403, 500 oldalt

Ha nem található alapértelmezett oldal, tiltott, a szerverhiba a verzió részleteit teszi közzé.

Nézzük meg az alapértelmezett 404 oldalt.

A mérséklés érdekében először létrehozhat egy általános hibalapot, és beállíthatja a web.xml fájlt, hogy átirányítson egy általános hibaoldalra.

  • Lépjen a $ tomcat / webapps / $ alkalmazásba
  • Hozzon létre a error.jsp fájlt a vi szerkesztő segítségével

Hiba oldal

Az hiba!

  • Lépjen a $ tomcat / conf mappába
  • Adja hozzá a következőt a web.xml fájlhoz. A szintaxis elõtt feltétlenül adjon hozzá

404
/error.jsp

403
/error.jsp

500
/error.jsp

  • Indítsa újra a tomcat szervert a teszteléshez

Sokkal jobb!

Ezt megteheti a java.lang.Exception esetén is. Ez segít abban, hogy a tomcat verziójának adatait ne tegye ki, ha bármilyen java lang kivétel van.

Csak adja hozzá a web.xml weboldalon a következőt, és indítsa újra a tomcat szervert.

java.lang.Exception
/error.jsp

Remélem, hogy a fenti útmutató ötletet ad a Tomcat biztonságához. Ha többet szeretne megtudni a Tomcat adminisztrációjáról, akkor nézd meg ezt online tanfolyam.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map