Sprievodca tvrdením a zabezpečením Apache Tomcat

Praktický sprievodca na zatvrdenie a zabezpečenie servera Apache Tomcat pomocou najlepších postupov.


Tomcat je jedným z najpopulárnejších serverov Servlet a JSP Container. Používajú ho niektoré z nasledujúcich webových stránok s vysokou návštevnosťou:

  • LinkedIn.com
  • Dailymail.co.uk
  • Comcast.net
  • Wallmart.com
  • Reuters.com
  • Meetup.com
  • Webs.com

Nižšie uvedená tabuľka ukazuje pozíciu Tomca na trhu v aplikačnom serveri Java.

Zdroj: Plumbr

Technicky môžete Tomcat použiť ako front-end server na priame vybavovanie požiadaviek na stránky. V produkčnom prostredí však možno budete chcieť použiť niektoré webové servery ako Apache, Nginx ako front-end na smerovanie požiadaviek do Tomcat.

Použitie webového servera na spracovanie žiadostí výkon a zabezpečenia výhody. Ak používate Apache HTTP ako front-end webový server, musíte zvážiť aj zabezpečenie.

Predvolená konfigurácia Tomcat môže odhaliť citlivé informácie, ktoré hackerovi pomáhajú pripraviť sa na útok na aplikáciu.

Nasledovné sú testované v prostredí Tomcat 7.x, UNIX.

publikum

Toto je určené pre Middleware Administrator, Application Support, System Analyst alebo pre kohokoľvek, kto sa snaží alebo sa snaží naučiť Tomcat Hardening and Security.

Dobrá znalosť Tomcat & Príkaz UNIX je povinný.

Poznámky

Vyžadujeme nejaký nástroj na overenie hlavičiek HTTP na overenie. Existujú dva spôsoby, ako to môžete urobiť.

Ak sa testuje Internet-čelia aplikácie, môžete na overenie implementácie použiť nasledujúce nástroje HTTP Header.

A pre Intranetová aplikácia, môžete použiť prehliadač Google Chrome, vývojárske nástroje Firefoxu.

Ako najlepší postup musíte vziať zálohovanie všetkých súborov, ktoré sa chystáte upraviť.

Nazývame inštalačný priečinok Tomcat ako $ kocúr v týchto pokynoch.

Poďme tvrdiť & zabezpečenie postupov.

Odstráňte banner servera

Odstránenie bannera servera z hlavičky HTTP je jednou z prvých vecí, ktoré sa dajú urobiť, ako je kalenie.

Nechajte serverový banner odhaliť produkt a verziu, ktorú používate, a vedie k zraniteľnosti úniku informácií.

V predvolenom nastavení sa stránka, ktorú zobrazuje Tomcat, zobrazí takto.

Skryte podrobnosti o produkte a verzii z hlavičky servera.

  • Prejdite do priečinka $ tomcat / conf
  • Upravte server.xml pomocou vi
  • Pridajte nasledujúci port portu

Server = ““

Príklad: –

  • Uložte súbor a reštartujte Tomcat. Keď teraz pristupujete k aplikácii, mali by ste vidieť prázdnu hodnotu pre hlavičku servera.

Spustenie aplikácie Tomcat pomocou nástroja Security Manager

Program Security Manager vás chráni pred nedôveryhodnými appletmi spustenými v prehliadači.

Spustenie aplikácie Tomcat pomocou správcu zabezpečenia je lepšie ako spustenie aplikácie bez nich. Tomcat má vynikajúcu dokumentáciu Tomcat Security Manager.

Dobrá vec je, že nemusíte meniť žiadny konfiguračný súbor. Je to len spôsob, ako spustiť súbor startup.sh.

Všetko, čo musíte urobiť, je začať s kocúrom s argumentom bezpečnosti.

[[Email protected] bin] # ./startup.sh – bezpečnosť
Použitie CATALINA_BASE: / opt / tomcat
Použitie CATALINA_HOME: / opt / tomcat
Použitie CATALINA_TMPDIR: / opt / tomcat / temp
Použitie JRE_HOME: / usr
Používanie CLASSPATH: /opt/tomcat/bin/bootstrap.jar:/opt/tomcat/bin/tomcat-juli.jar
Pomocou nástroja Security Manager
Tomcat začal.
[[Email protected] bin] #

Povoliť SSL / TLS

Poskytovanie webových požiadaviek cez HTTPS je nevyhnutné na ochranu údajov medzi klientom a spoločnosťou Tomcat. Ak chcete svoju webovú aplikáciu sprístupniť prostredníctvom protokolu HTTPS, musíte implementovať certifikát SSL.

Za predpokladu, že už máte k dispozícii kľúčový sklad s certifikátom, môžete do súboru server.xml pridať časť v časti Port Connector..

SSLEnabled ="pravdivý" schéma ="https" keystoreFile ="SSL / bloggerflare.jks" keystorePass ="Chandan" clientAuth ="nepravdivý" sslProtocol ="TLS"

Názov a heslo súboru Keystore môžete zmeniť svojim.

Ak potrebujete pomoc s úložiskom kľúčov & Postup CSR, potom si pozrite túto príručku.

Vynútiť HTTPS

Platí to iba vtedy, keď máte povolený protokol SSL. Ak nie, aplikáciu preruší.

Po povolení protokolu SSL by bolo vhodné vynútiť presmerovanie všetkých požiadaviek protokolu HTTP na protokol HTTPS na bezpečnú komunikáciu medzi používateľom a aplikačným serverom Tomcat..

  • Prejdite do priečinka $ tomcat / conf
  • Upravte web.xml pomocou vi
  • Pred syntax pridajte nasledujúci text

Chránený kontext
/ *

dôverné

  • Uložte súbor a reštartujte Tomcat

Pridať zabezpečené & HttpOnly vlajka na Cookie

Je možné ukradnúť alebo manipulovať reláciu webových súborov a súbory cookie bez toho, aby ste mali zabezpečený súbor cookie. Je to príznak, ktorý sa vloží do hlavičky odpovede.

To sa dosiahne pridaním pod riadok do sekcie config v súbore web.xml

pravdivý
pravdivý

Konfiguračná snímka obrazovky:

Uložte súbor a reštartujte Tomcat, aby ste preskúmali hlavičku odpovede HTTP.

Spustite Tomcat z neprivilegovaného účtu

Je dobré používať pre Tomcaca samostatného neprivilegovaného používateľa. Zámerom je chrániť ostatné služby bežiace v prípade, že dôjde ku kompromitácii niektorého z účtov.

  • Vytvorte používateľa systému UNIX, povedzme tomcat

useradd tomcat

  • Ak je Tomcat spustený, zastavte ho
  • Zmeňte vlastníctvo $ tomcat na užívateľa tomcat

chown -R tomcat: tomcat tomcat /

Spustite Tomcat a uistite sa, že beží s používateľom Tomcat

Odstráňte predvolené / nechcené aplikácie

Tomcat štandardne prichádza s nasledujúcimi webovými aplikáciami, ktoré sa môžu alebo nemusia vyžadovať v produkčnom prostredí.

Môžete ich odstrániť, aby ste ich udržali v čistote a aby ste sa vyhli akémukoľvek známemu bezpečnostnému riziku pomocou predvolenej aplikácie Tomcat.

  • ROOT – predvolená uvítacia stránka
  • Dokumenty – dokumentácia Tomcat
  • Príklady – JSP a servlety na demonštráciu
  • Manažér, hostiteľ-manažér – správa spoločnosti Tomcat

Sú k dispozícii v priečinku $ tomcat / webapps

[[Email protected] webapps] # ls -lt
drwxr-xr-x 14 tomcat tomcat 4096 sep 29 15:26 doc
príklady drwxr-xr-x 7 tomcat tomcat 4096 sep 29 15:26
drwxr-xr-x 5 tomcat tomcat 4096 sep 29 15:26 host-manager
drwxr-xr-x 5 tomcat tomcat 4096 sep 29 15:26 manager
drwxr-xr-x 3 tomcat tomcat 4096 sep 29 15:26 ROOT
[[Email protected] webapps] #

Zmeňte port a príkaz SHUTDOWN

V predvolenom nastavení je Tomcat nakonfigurovaný tak, aby bol vypnutý na porte 8005.

Viete, že inštanciu tomcat môžete vypnúť pomocou telnetu na IP: port a príkazom SHUTDOWN?

Chandans # telnet localhost 8005
Vyskúšam :: 1 … telnet:
pripojiť sa na adresu :: 1:
Pripojenie odmietnuté Vyskúšať 127.0.0.1…
Pripojené k localhost.
Útekový znak je „^]“.
SHUTDOWN Spojenie bolo uzavreté zahraničným hostiteľom.
Chandans #

nebezpečný!

Vidíte, že predvolená konfigurácia vedie k vysokému riziku zabezpečenia.

Odporúča sa zmeniť port na vypnutie koňa a predvolený príkaz na niečo nepredvídateľné.

  • Upravte nasledujúce v server.xml

8005 – Zmena na iný nevyužitý port

SHUTDOWN – Zmena na niečo komplikované

bývalý-

Vymeňte predvolenú stránku 404, 403, 500

Po predvolenej stránke pre nenájdenú, zakázanú, chyba servera odhalí podrobnosti o verzii.

Pozrime sa na predvolenú stránku 404.

Ak ju chcete zmierniť, musíte najprv vytvoriť stránku so všeobecnými chybami a nakonfigurovať web.xml tak, aby presmerovala na stránku so všeobecnými chybami.

  • Prejdite na aplikáciu $ tomcat / webapps / $
  • Vytvorte súbor error.jsp pomocou editora vi

Chybová stránka

To je chyba!

  • Prejdite do priečinka $ tomcat / conf
  • Do súboru web.xml pridajte nasledujúci text. Uistite sa, že ste pridali pred syntaxou

404
/error.jsp

403
/error.jsp

500
/error.jsp

  • Reštartujte server Tomcat a otestujte ho

Oveľa lepšie!

Môžete to urobiť aj pre java.lang.Exception. Pomôže to pri odkrývaní informácií o verzii tomcat, ak existuje nejaká výnimka z jazyka java.

Do web.xml pridajte nasledujúci text a reštartujte server tomcat.

java.lang.Exception
/error.jsp

Dúfam, že vyššie uvedený sprievodca vám poskytne nápad na zabezpečenie spoločnosti Tomcat. Ak sa chcete dozvedieť viac o správe Tomcat, potom si to pozrite online kurz.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map