Como a segurança Harden Apache Tomcat

Mr. Warren Cummerata
Como a segurança Harden Apache Tomcat
Apache Tomcat é um servidor de aplicativos Java de código aberto e de código aberto que vem com uma funcionalidade incrível da caixa. Embora a segurança do Apache Tomcat tenha melhorado significativamente ao longo dos anos, isso não significa que não é explorável.

Neste guia, discutiremos várias maneiras de proteger seu servidor Apache Tomcat. Os métodos discutidos neste guia são mais adequados para a produção, como você pode ou não exigir durante o desenvolvimento.

1 - suprimir informações do servidor

Uma maneira simples de aumentar a segurança do servidor Apache Tomcat é remover o banner do servidor da resposta HTTP. Se exposto, a bandeira pode vazar a versão do tomcat que você está usando, facilitando a coleta de informações sobre o servidor e explorações conhecidas.

Nas versões recentes do tomcat (Tomcat 8 e acima), o banner do servidor é desativado por padrão. No entanto, se você estiver usando uma versão mais antiga do tomcat, pode ser necessário fazer isso manualmente.

Edite o servidor.Arquivo XML no diretório conferl do diretório de instalação do tomcat.

Localize a entrada da porta do conector e remova o bloco do servidor.

Antes:

ConnectionTimeout = "20000"
Server = ""
Redirectport = "8443" />

Depois:

ConnectionTimeout = "20000"
Redirectport = "8443" />

Salve o arquivo e reinicie o serviço Apache Tomcat.

2 - Ativar SSL/TLS

O SSL permite que você sirva dados entre o servidor e o cliente sobre o protocolo HTTPS. Para usar o SSL no tomcat, melhorando a segurança, edite o servidor.Arquivo XML e Diretiva Sslenabled na porta do conector como:

ConnectionTimeout = "20000"
Sslenabled = "true" scheme = "https" keystorefile = "conf/key.jks "keystorepass =" senha "clientauth =" false "sslprotocol =" tls "
Redirectport = "8443" />

A entrada acima pressupõe que você tenha uma pista de chave com um certificado SSL.

3 - Não corra o tomcat como raiz

Nunca execute o Tomcat como um usuário privilegiado. Isso permite que você proteja o sistema em caso de um serviço Tomcat comprometido.

Crie um usuário para executar o serviço Tomcat.

sudo useradd -m -u -d /home /tomcat -s $ (que false) tomcat

Por fim, mude a propriedade para o usuário do tomcat criado.

CHOW -R TOMCAT: TOMCAT /HOME /TOMCAT

4 - Use o gerente de segurança

É bom executar o servidor Apache Tomcat usando o gerenciador de segurança. Isso impede que os applets não confiáveis ​​sejam executados no navegador.

./comece.SH -Segurança

Abaixo está um exemplo de saída:

Para fazer isso, use o script Catalina com a bandeira -security.
Usando catalina_base:/home/debian/apache-tomcat-10.0.10
Usando Catalina_home:/Home/Debian/Apache-Tomcat-10.0.10
Usando catalina_tmpdir:/home/debian/apache-tomcat-10.0.10/Temp
Usando jre_home: /usr
Usando ClassPath:/Home/Debian/Apache-Tomcat-10.0.10/bin/bootstrap.jar:/home/debian/apache-tomcat-10.0.10/bin/tomcat-juli.jarra
Usando Catalina_Opts:
Usando o Security Manager
Tomcat começou.

5 - Remova aplicativos indesejados

Apache Tomcat vem com aplicativos de amostra padrão exploráveis. A melhor medida contra isso é removê -los do seu diretório WebApps.

Você pode remover aplicativos como:

  1. Raiz - a página padrão do tomcat
  2. DOCs - documentação do tomcat
  3. Exemplos - servlets para teste

6 - Modifique o procedimento de desligamento do Tomcat

Outra maneira de proteger o tomcat é alterar o procedimento de desligamento. Fazer isso pode ajudar a impedir que usuários maliciosos desligem os serviços do Tomcat.

O Tomcat pode ser desligado usando a porta 8005 na telnet e enviando o comando de desligamento:

$ Telnet localhost 8005
Tentando 127.0.0.1…
Conectado ao host local.
O personagem de fuga é '^]'.
desligar
Conexão fechada por host estrangeiro.

Para consertar isso, edite o servidor.Arquivo XML e remova o seguinte bloco.

Se você deseja manter vivo o comando de desligamento, altere a porta padrão e comando. Por exemplo:

7 - Adicione bandeiras seguras e httponly

Os atacantes também podem manipular os cookies e sessões dos aplicativos instalados. Para resolver isso, edite a web.Arquivo XML e adicione as seguintes entradas no bloco sessão-config.


verdadeiro
verdadeiro

Conclusão

Este artigo descreveu algumas configurações necessárias para o Apache Tomcat para ajudar a aumentar e aprimorar a segurança. Observe que os métodos discutidos são apenas algumas das muitas medidas que você pode tomar para proteger o tomcat.

C nítido
Como usar a palavra -chave Throw em C#
A palavra -chave Throw é como uma declaração de salto em C# que pode aumentar uma exceção. Exceções ...
Orlando Green
Ubuntu
Como tirar capturas de tela do shell de login do servidor Ubuntu/Debian
Tutorial prático sobre como instalar o programa FBGRAB e como tirar capturas de tela da interface da...
Bryant Rowe Sr.
Java
Java Dom Parser exemplos para analisar XML
Tutorial prático sobre os usos do Parser Java Dom para ler o conteúdo de um arquivo XML simples de m...
Joey Bartoletti
Oracle Linux
Como instalar e usar o pacote de extensão Oracle VirtualBox?
Carl Hintz DDS
Comandos Linux
Como instalar e ativar a autenticação multifatorial SSH para sistemas Linux
Orlando Green
php
O que é um erro de índice indefinido no PHP e como corrigi -lo?
Joey Bartoletti
Docker
Quais são as etapas para implantar uma imagem nginx usando o docker?
Evan Mueller
Golang
O que é herança em Golang
Bryant Rowe Sr.
Oracle Linux
O que deve ser especificações mínimas do sistema para o Oracle Linux?
Mr. Warren Cummerata
Java
Qual é a palavra -chave padrão nas declarações de switch?
Bryant Rowe Sr.
AWS
O que são funções de etapas da AWS e como usá -las?
Bryant Rowe Sr.
C nítido
Como o operador lambda '=>' é usado em C#
Tommie Konopelski
Golang
Como usar o tempo.Função de sono em Golang
Orlando Green