מדריך להתקשות וביטחון של אפאצ’י

מדריך מעשי להקשות ולאבטחת שרת Apache Tomcat עם שיטות העבודה המומלצות.


Tomcat הוא אחד משרתי ה- Servlet ו- JSP Container הפופולריים ביותר. משתמשים בהם בכמה מאתרים הבאים בתעבורה גבוהה:

  • LinkedIn.com
  • Dailymail.co.uk
  • Comcast.net
  • Wallmart.com
  • Reuters.com
  • Meetup.com
  • Webs.com

התרשים להלן מציג את מיקום השוק של Tomcat בשרת היישומי Java.

מקור: פלומבר

מבחינה טכנית, אתה יכול להשתמש ב- Tomcat כשרת חזיתי כדי לשרת ישירות בקשות אתרים. עם זאת, בסביבת ייצור, ייתכן שתרצה להשתמש בכמה שרתי אינטרנט כמו אפאצ’י, נגינקס כקצה קדמי כדי לנתב את הבקשות ל- Tomcat..

שימוש בשרת אינטרנט לטיפול בבקשות נותן ביצועים ו ביטחון יתרונות. אם אתה משתמש ב- Apache HTTP כשרת אינטרנט קדמי, עליך לשקול גם לאבטח זאת.

ברירת המחדל של תצורת Tomcat עשויה לחשוף מידע רגיש, המסייע להאקר להיערך להתקפה על היישום.

להלן נבדקים בסביבת Tomcat 7.x, UNIX.

קהל

זה מיועד למנהלי Middleware, לתמיכה ביישומים, למנתח מערכות או לכל מי שעוסק או להוט ללמוד Tomcat התקשות וביטחון..

ידיעה טובה של טומקט & הפקודה של UNIX היא חובה.

הערות

אנו זקוקים לכלי כלשהו לבדיקת כותרות HTTP לצורך אימות. יש שתי דרכים לעשות זאת.

אם בדיקות פונה לאינטרנט היישום, תוכל להשתמש בכלי כותרת HTTP הבאים כדי לאמת את היישום.

ובשביל יישום אינטראנט, אתה יכול להשתמש ב- Google Chrome, בכלי המפתחים של Firefox.

בתור שיטת עבודה מומלצת, עליך לקחת א גיבוי של כל קובץ שאתה עומד לשנות.

אנו נקרא לתיקיית התקנת Tomcat כ- $ טומקט לאורך הנחיות אלה.

בואו נעבור את ההתקשות & נהלי אבטחה.

הסר את באנר השרת

הסרת באנר השרת מכותרת HTTP היא אחד הדברים הראשונים לעשות כמו התקשות.

הצבת באנר שרת חושפת את המוצר והגרסה בה אתה משתמש ומובילה לפגיעות של דליפת מידע.

כברירת מחדל, עמוד שמוגש על ידי Tomcat יופיע כך.

נסתיר את פרטי המוצר והגרסה מכותרת השרת.

  • עבור אל תיקיית $ tomcat / conf
  • שנה server.xml באמצעות vi
  • הוסף הבא ליציאת המחבר

שרת = “”

דוגמה: –

  • שמור את הקובץ והפעל מחדש את ה- Tomcat. כעת, כשאתה ניגש ליישום, אתה אמור לראות ערך ריק לכותרת השרת.

הפעלת Tomcat במנהל אבטחה

מנהל האבטחה מגן עליך מפני יישומון לא מהימן שפועל בדפדפן שלך.

הפעלת Tomcat עם מנהל אבטחה עדיפה על ריצה ללא אחד. לתומקט יש תיעוד מצוין בנושא מנהל אבטחת Tomcat.

הדבר הטוב בזה הוא שאתה לא צריך לשנות אף קובץ תצורה. זו בדיוק הדרך בה אתה מבצע קובץ startup.sh.

כל שעליכם לעשות הוא להתחיל עם טומט עם טיעון ביטחון.

[[מוגן בדוא”ל] bin] # ./startup.sh – ביטחון
באמצעות CATALINA_BASE: / opt / tomcat
באמצעות CATALINA_HOME: / opt / tomcat
באמצעות CATALINA_TMPDIR: / opt / tomcat / temp
באמצעות JRE_HOME: / usr
באמצעות CLASSPATH: /opt/tomcat/bin/bootstrap.jar:/opt/tomcat/bin/tomcat-juli.jar
באמצעות מנהל האבטחה
טומקט התחיל.
[[מוגן בדוא”ל] bin] #

אפשר SSL / TLS

הגשת בקשות אינטרנט באמצעות HTTPS חיונית להגנה על נתונים בין לקוח לטומקט. כדי להנגיש את יישום האינטרנט שלך באמצעות HTTPS, עליך ליישם אישור SSL.

בהנחה, כבר יש לכם חנות מקשים עם האישור, תוכלו להוסיף שורה מתחת לקובץ server.xml תחת פרק יציאת המחבר..

SSLEnabled ="נכון" סכמה ="https" keystoreFile ="ssl / bloggerflare.jks" keystorePass ="צ’נדן" clientAuth ="שקר" sslProtocol ="TLS"

שנה את שם הקובץ והסיסמה של Keystore עם שלך.

אם אתה זקוק לעזרה בחנות המפתחות & תהליך CSR ואז עיין במדריך זה.

אכוף HTTPS

זה חל רק כאשר הפעלת SSL. אם לא, זה ישבור את היישום.

לאחר שתאפשר SSL, יהיה טוב לכפות מחדש את כל בקשות ה- HTTP ל- HTTPS לתקשורת מאובטחת בין המשתמש לשרת היישום Tomcat..

  • עבור אל תיקיית $ tomcat / conf
  • שנה web.xml באמצעות vi
  • הוסף הבא לפני התחביר

הקשר מוגן
/ *

סודי

  • שמור את הקובץ והפעל מחדש את ה- Tomcat

הוסף מאובטח & Http רק לסמן את העוגיה

אפשר לגנוב או לתפעל הפעלות ועוגיות של יישומי אינטרנט מבלי שיהיה לכם עוגיה מאובטחת. זהו דגל שמוזרק בכותרת התגובה.

זה נעשה על ידי הוספת מתחת לשורה בקטע קביעת הפעלה של קובץ web.xml

נכון
נכון

צילום מסך לתצורה:

שמור את הקובץ והפעל מחדש את Tomcat לבחינת כותרת התגובה של HTTP.

הפעל את Tomcat מחשבון שאינו מורשה

טוב להשתמש למשתמש נפרד שאינו מוגדר עבור טומקט. הרעיון כאן הוא להגן על שירותים אחרים הפועלים במקרה שחשבון כלשהו ייפגע.

  • צור משתמש UNIX, נניח tomcat

המשתמש הוסיף

  • עצור את הטומקט אם פועל
  • שנה בעלות של $ tomcat ל- tomcat של משתמשים

chown -R tomcat: tomcat tomcat /

התחל את ה- Tomcat והבטיח שהוא פועל עם המשתמש של Tomcat

הסר יישומי ברירת מחדל / לא רצויים

כברירת מחדל, Tomcat מגיע עם יישומי אינטרנט הבאים, אשר עשויים להיות נדרשים או לא בסביבת ייצור.

אתה יכול למחוק אותם כדי לשמור על ניקיון ולהימנע מכל סיכון אבטחה ידוע באמצעות יישום ברירת המחדל של Tomcat.

  • ROOT – דף ברכת ברירת המחדל
  • מסמכים – תיעוד Tomcat
  • דוגמאות – JSP ו- servlets להפגנה
  • מנהל, מארח-מנהל – הנהלת טומקט

הם זמינים תחת תיקיית $ tomcat / webapps

[[מוגן בדוא”ל] webapps] # ls -lt
drwxr-xr-x 14 tomcat tomcat 4096 29 בספטמבר 15:26 מסמכים
drwxr-xr-x 7 tomcat tomcat 4096 29 בספטמבר 15:26 דוגמאות
drwxr-xr-x 5 tomcat tomcat 4096 ספטמבר 29 15:26 מנהל מארח
drwxr-xr-x 5 tomcat tomcat 4096 29 בספטמבר 15:26 מנהל
drwxr-xr-x 3 tomcat tomcat 4096 29 ספטמבר 15:26 ROOT
[[מוגן בדוא”ל] אפליקציות אינטרנט] #

שנה את יציאת ה- SHUTDOWN ואת הפקודה

כברירת מחדל, tomcat מוגדר לכיבוי ביציאה 8005.

האם אתה יודע שאתה יכול לכבות את מופע ה- Tomcat על ידי ביצוע רשת Telnet ל- IP: יציאה והוצאת פקודה SHUTDOWN?

Chandans # telnet localhost 8005
מנסה :: 1 … telnet:
התחבר לכתובת :: 1:
החיבור סירב לנסות 127.0.0.1…
מחובר ל localhost.
דמות הבריחה היא ‘^]’.
כיבוי החיבור נסגר על ידי המארח הזר.
Chandans #

מסוכן!

אתה מבין, קיום תצורת ברירת מחדל מוביל לסיכון אבטחה גבוה.

מומלץ לשנות את יציאת הכיבוי של tomcat ואת פקודת ברירת המחדל למשהו בלתי צפוי.

  • שנה את הדברים הבאים ב server.xml

8005 – מעבר לנמל אחר שאינו בשימוש אחר

כיבוי – שינוי למשהו מסובך

דוגמה-

החלף עמוד 404, 403, 500 ברירת מחדל

לאחר שברירת המחדל של עמוד לא נמצאה, אסורה, שגיאת שרת חושפת את פרטי הגרסה.

הבה נבחן לעמוד 404 המוגדר כברירת מחדל.

כדי להקל, ראשית ניתן ליצור דף שגיאה כללי ולהגדיר את התצורה של web.xml להפניה לדף שגיאה כללי..

  • עבור אל יישום $ tomcat / webapps / $
  • צור קובץ שגיאה.jsp באמצעות עורך vi

דף שגיאה

זו שגיאה!

  • עבור אל תיקיית $ tomcat / conf
  • הוסף את הדברים הבאים בקובץ web.xml. הקפד להוסיף לפני התחביר

404
/error.jsp

403
/error.jsp

500
/error.jsp

  • הפעל מחדש את שרת tomcat כדי לבדוק אותו

הרבה יותר טוב!

אתה יכול לעשות זאת גם עבור java.lang.Exception. זה יעזור לא לחשוף מידע על גרסת tomcat אם חריג כלשהו בג’אווה לאנג.

פשוט הוסף הבא ב web.xml והפעל מחדש את שרת tomcat.

java.lang.Exception
/error.jsp

אני מקווה שהמדריך לעיל נותן לך מושג לאבטח את טומקט. אם אתה מחפש ללמוד עוד אודות ניהול Tomcat, בדוק זאת קורס מקוון.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map