Hvordan sikkerhet herde apache tomcat
I denne guiden vil vi diskutere forskjellige måter å sikre Apache Tomcat -serveren. Metodene omtalt i denne guiden er best egnet for produksjon, da du kanskje ikke krever dem under utvikling.
1 - Undertrykk serverinfo
En enkel måte å øke sikkerheten til Apache Tomcat -serveren er å fjerne serverbanneret fra HTTP -responsen. Hvis det blir utsatt, kan flagget lekke versjonen av Tomcat du bruker, noe som gjør det lettere å samle informasjon om serveren og kjente utnyttelser.
I nyere versjoner av Tomcat (Tomcat 8 og over) er serverbanneret deaktivert som standard. Imidlertid, hvis du bruker en eldre versjon av Tomcat, kan det hende du må gjøre dette manuelt.
Rediger serveren.XML -fil under Conf Directory of Tomcat Install -katalogen.
Finn kontakten Port -oppføringen og fjern serverblokken.
Før:
ConnectionTimeout = "20000"
server = ""
Redirectport = "8443" />
Etter:
ConnectionTimeout = "20000"
Redirectport = "8443" />
Lagre filen og start Apache Tomcat -tjenesten på nytt.
2 - Aktiver SSL/TLS
SSL lar deg servere data mellom serveren og klienten over HTTPS -protokollen. For å bruke SSL i Tomcat, dermed forbedring av sikkerheten, rediger serveren.XML -fil og SSLEnabled -direktiv i Connector Port som:
ConnectionTimeout = "20000"
Sslenabled = "true" scheme = "https" keystorefile = "conf/nøkkel.JKS "KeyStorePass =" Password "ClientAuth =" FALSE "SSLPROTOCOL =" TLS "
Redirectport = "8443" />
Ovennevnte oppføring forutsetter at du har en nøkkelbutikk med et SSL -sertifikat.
3 - Ikke kjør Tomcat som rot
Kjør aldri tomcat som en privilegert bruker. Dette lar deg beskytte systemet i tilfelle en kompromittert Tomcat -tjeneste.
Opprett en bruker for å kjøre Tomcat -tjenesten.
sudo useradd -m -u -d /home /tomcat -s $ (hvilken falsk) tomcat
Til slutt, endre eierskapet til Tomcat -brukeren som er opprettet.
Chown -r Tomcat: Tomcat /Home /Tomcat
4 - Bruk sikkerhetssjefen
Det er bra å kjøre Apache Tomcat -serveren ved hjelp av sikkerhetssjefen. Dette forhindrer at upålitte applets kjører i nettleseren.
./oppstart.Sh -Security
Nedenfor er et eksempelutgang:
For å gjøre dette, bruk Catalina -skriptet med -sikkerhetsflagget.
Bruke Catalina_Base:/Home/Debian/Apache-TOMCAT-10.0.10
Bruker Catalina_Home:/Home/Debian/Apache-Tomcat-10.0.10
Bruke Catalina_TMPDir:/Home/Debian/Apache-Tomcat-10.0.10/temp
Bruker jre_home: /usr
Bruker ClassPath:/Home/Debian/Apache-Tomcat-10.0.10/bin/bootstrap.JAR:/Hjem/Debian/Apache-Tomcat-10.0.10/bin/tomcat-Juli.krukke
Bruker Catalina_opts:
Bruker sikkerhetssjef
Tomcat startet.
5 - Fjern uønskede applikasjoner
Apache Tomcat kommer med utnyttbare standardprøveapplikasjoner. Det beste tiltaket mot dette er å fjerne dem fra WebApps -katalogen.
Du kan fjerne applikasjoner som:
- ROOT - TOMCAT -standardsiden
- Dokumenter - Tomcat -dokumentasjon
- Eksempler - Servlets for testing
6 - Endre Tomcats avslutningsprosedyre
En annen måte å sikre Tomcat er å endre nedleggelsesprosedyren. Å gjøre dette kan bidra til å forhindre at ondsinnede brukere stenger Tomcats tjenester.
Tomcat kan legges ned ved å bruke port 8005 på Telnet og sende avstengningskommandoen:
$ telnet localhost 8005
Prøver 127.0.0.1…
Koblet til localhost.
Escape Character er '^]'.
skru av
Tilkobling stengt av utenlandsk vert.
For å fikse dette, rediger serveren.XML -fil og fjern følgende blokk.
Hvis du vil holde livskommandoen i live, kan du endre standardport og kommando. For eksempel:
7 - Legg til sikre og httponly flagg
Angripere kan også manipulere installerte applikasjoners informasjonskapsler og økter. For å løse dette, rediger nettet.XML-fil og legg til følgende oppføringer i sesjonskonfigurasjonsblokken.
ekte ekte
Konklusjon
Denne artikkelen skisserte noen nødvendige konfigurasjoner du kan gjøre til Apache Tomcat for å øke og forbedre sikkerheten. Vær oppmerksom på at metodene som diskuteres bare er noen få av de mange tiltakene du kan ta for å sikre Tomcat.