So härten Sie Apache Tomcat aus

Hussein Burkhard
So härten Sie Apache Tomcat aus
Apache Tomcat ist ein kostenloser und Open-Source-Java-Anwendungsserver, der mit unglaublichen Funktionen über den Box gefüllt ist. Obwohl sich Apache Tomcat Security im Laufe der Jahre erheblich verbessert hat, bedeutet dies nicht, dass es nicht ausnutzbar ist.

In diesem Handbuch werden wir verschiedene Möglichkeiten besprechen, Ihren Apache -Tomcat -Server zu sichern. Die in diesem Leitfaden diskutierten Methoden eignen sich am besten für die Produktion, da Sie sie während der Entwicklung benötigen oder nicht.

1 - Serverinformationen unterdrücken

Eine einfache Möglichkeit, die Sicherheit des Apache Tomcat -Servers zu erhöhen, besteht darin, das Serverbanner aus der HTTP -Antwort zu entfernen. Wenn das Flag exponiert wird, kann das Flag die Version von Tomcat, die Sie verwenden.

In jüngsten Versionen von Tomcat (Tomcat 8 und höher) ist das Serverbanner standardmäßig deaktiviert. Wenn Sie jedoch eine ältere Version von Tomcat verwenden, müssen Sie dies möglicherweise manuell tun.

Bearbeiten Sie den Server.XML -Datei unter dem Conf -Verzeichnis des Tomcat -Installationsverzeichnisses.

Suchen Sie den Anschlussanschlusseintrag und entfernen Sie den Serverblock.

Vor:

ConnectionTimeout = "20000"
server = ""
redirectport = "8443" />

Nach:

ConnectionTimeout = "20000"
redirectport = "8443" />

Speichern Sie die Datei und starten Sie den Apache Tomcat -Dienst neu.

2 - SSL/TLS aktivieren

Mit SSL können Sie Daten zwischen dem Server und dem Client über das HTTPS -Protokoll bereitstellen. Um SSL in Tomcat zu verwenden und so die Sicherheit zu verbessern, bearbeiten Sie den Server.XML -Datei und SSlenabled -Anweisung im Connector -Port als:

ConnectionTimeout = "20000"
Sslenabled = "true" Scheme = "https" keystorefile = "conf/key.jks "keystorepass =" password "clientAuth =" false "sslprotocol =" tls "
redirectport = "8443" />

In dem obigen Eintrag geht davon aus, dass Sie einen Keystore mit einem SSL -Zertifikat haben.

3 - Führen Sie Tomcat nicht als Wurzel aus

Führen Sie Tomcat niemals als privilegierter Benutzer aus. Auf diese Weise können Sie das System im Falle eines gefährdeten Tomcat -Dienstes schützen.

Erstellen Sie einen Benutzer, um den Tomcat -Dienst auszuführen.

sudo userAdd -m -u -d /home /tomcat -s $ (was falsch) tomcat

Ändern Sie schließlich den Eigentum in den erstellten Tomcat -Benutzer.

Chown -r Tomcat: Tomcat /Home /Tomcat

4 - Verwenden Sie den Sicherheitsmanager

Es ist gut, den Apache Tomcat -Server mit dem Security Manager auszuführen. Dies verhindert, dass nicht vertrauenswürdige Applets im Browser ausgeführt werden.

./Start-up.Sh -Security

Unten ist ein Beispielausgang:

Verwenden Sie dazu das Catalina -Skript mit der Flagge -Sicherheitsflagge.
Verwenden Sie Catalina_base:/home/debian/apache-tomcat-10.0.10
Verwenden Sie Catalina_Home:/home/debian/apache-tomcat-10.0.10
Verwenden Sie Catalina_tmpdir:/home/debian/apache-tomcat-10.0.10/Temp
Verwenden Sie JRE_HOME: /usr
Verwenden Sie ClassPath:/home/debian/apache-tomcat-10.0.10/bin/Bootstrap.jar:/home/debian/apache-tomcat-10.0.10/bin/tomcat-juli.Krug
Verwenden von Catalina_Opts:
Verwenden von Sicherheitsmanager
Tomcat begann.

5 - Entfernen Sie unerwünschte Anwendungen

Apache Tomcat verfügt über ausblockable Standard -Beispielanwendungen. Die beste Maßnahme dagegen ist, sie aus Ihrem WebApps -Verzeichnis zu entfernen.

Sie können Anwendungen entfernen wie:

  1. Root - Die Tomcat -Standardseite
  2. Dokumente - Tomcat -Dokumentation
  3. Beispiele - Servlets zum Testen

6 - Ändern Sie den Abschaltverfahren von Tomcat

Eine andere Möglichkeit, Tomcat zu sichern, besteht darin, das Abschaltverfahren zu ändern. Wenn Sie dies tun.

Tomcat kann mit Port 8005 auf Telnet heruntergefahren und den Befehl zum Shutdown gesendet werden:

$ telnet localhost 8005
Versuchen 127.0.0.1…
Mit Localhost verbunden.
Fluchtcharakter ist '^]' '.
abschalten
Verbindung von ausländischem Host geschlossen.

Um dies zu beheben, bearbeiten Sie den Server.XML -Datei und den folgenden Block entfernen.

Wenn Sie den Befehl zum Shutdown am Leben erhalten möchten, ändern Sie den Standardport und den Befehl. Zum Beispiel:

7 - Fügen Sie sichere und httponly -Flags hinzu

Angreifer können auch die Cookies und Sitzungen von installierten Anwendungen manipulieren. Um dies zu beheben, bearbeiten Sie das Web.XML-Datei und fügen Sie die folgenden Einträge im Sitzungs-Config-Block hinzu.


WAHR
WAHR

Abschluss

In diesem Artikel wurden einige erforderliche Konfigurationen beschrieben, die Sie für Apache Tomcat vornehmen können, um die Sicherheit zu erhöhen und zu verbessern. Bitte beachten Sie, dass die besprochenen Methoden nur einige der vielen Maßnahmen sind, die Sie ergreifen können, um Tomcat zu sichern.

Ubuntu
So nehmen Sie Screenshots aus der Login -Shell von Ubuntu/Debian Server
Praktisches Tutorial zur Installation des FBGRAB -Programms und der Aufnahme von Screenshots der Log...
Fr. Chris Frisch
Java
Beispiele für Java Treemap
Praktisches Tutorial über die Methoden zum Einfügen, Entfernen und Drucken der Elemente des Java -Tr...
Stephan Harms
Bash -Programmierung
So fügen Sie einem Array ein neues Element hinzu, ohne den Index in Bash anzugeben
Um einem Array ein neues Element hinzuzufügen, ohne den Index in Bash anzugeben. Lesen Sie diesen Le...
Mohamed Flore
Python
Numpy Save Dict
Lars Daub
Python
Seeborn Horizontal Bar -Diagramm
Kaya Wyludda
Python
So verwenden Sie Xrange in Python
Arved Riermeier
JavaScript
So verwenden Sie die MouseEvent ScreenX -Eigenschaft in JavaScript
Jessica Schimmer
Oracle -Datenbank
Was ist Oracle SQL*Plus und wofür wird es verwendet??
Ansgar Radtke
Oracle -Datenbank
Welche Art von Datenbank ist Oracle Top 10g?
Gian Eisenlauer
Fedora
So aktivieren Sie das RPM -Fusions -Repository auf Fedora
Jean Dengler
c scharf
So verwenden Sie Wurf Keyword in C#
Jean Dengler
c scharf
Was ist der Unterschied zwischen Klasse und Objekt in C#
Hussein Burkhard
Power Shell
So verwenden Sie die Variablen in PowerShell
Gian Eisenlauer