Como a segurança Harden Apache Tomcat

Mr. Warren Cummerata
Como a segurança Harden Apache Tomcat
Apache Tomcat é um servidor de aplicativos Java de código aberto e de código aberto que vem com uma funcionalidade incrível da caixa. Embora a segurança do Apache Tomcat tenha melhorado significativamente ao longo dos anos, isso não significa que não é explorável.

Neste guia, discutiremos várias maneiras de proteger seu servidor Apache Tomcat. Os métodos discutidos neste guia são mais adequados para a produção, como você pode ou não exigir durante o desenvolvimento.

1 - suprimir informações do servidor

Uma maneira simples de aumentar a segurança do servidor Apache Tomcat é remover o banner do servidor da resposta HTTP. Se exposto, a bandeira pode vazar a versão do tomcat que você está usando, facilitando a coleta de informações sobre o servidor e explorações conhecidas.

Nas versões recentes do tomcat (Tomcat 8 e acima), o banner do servidor é desativado por padrão. No entanto, se você estiver usando uma versão mais antiga do tomcat, pode ser necessário fazer isso manualmente.

Edite o servidor.Arquivo XML no diretório conferl do diretório de instalação do tomcat.

Localize a entrada da porta do conector e remova o bloco do servidor.

Antes:

ConnectionTimeout = "20000"
Server = ""
Redirectport = "8443" />

Depois:

ConnectionTimeout = "20000"
Redirectport = "8443" />

Salve o arquivo e reinicie o serviço Apache Tomcat.

2 - Ativar SSL/TLS

O SSL permite que você sirva dados entre o servidor e o cliente sobre o protocolo HTTPS. Para usar o SSL no tomcat, melhorando a segurança, edite o servidor.Arquivo XML e Diretiva Sslenabled na porta do conector como:

ConnectionTimeout = "20000"
Sslenabled = "true" scheme = "https" keystorefile = "conf/key.jks "keystorepass =" senha "clientauth =" false "sslprotocol =" tls "
Redirectport = "8443" />

A entrada acima pressupõe que você tenha uma pista de chave com um certificado SSL.

3 - Não corra o tomcat como raiz

Nunca execute o Tomcat como um usuário privilegiado. Isso permite que você proteja o sistema em caso de um serviço Tomcat comprometido.

Crie um usuário para executar o serviço Tomcat.

sudo useradd -m -u -d /home /tomcat -s $ (que false) tomcat

Por fim, mude a propriedade para o usuário do tomcat criado.

CHOW -R TOMCAT: TOMCAT /HOME /TOMCAT

4 - Use o gerente de segurança

É bom executar o servidor Apache Tomcat usando o gerenciador de segurança. Isso impede que os applets não confiáveis ​​sejam executados no navegador.

./comece.SH -Segurança

Abaixo está um exemplo de saída:

Para fazer isso, use o script Catalina com a bandeira -security.
Usando catalina_base:/home/debian/apache-tomcat-10.0.10
Usando Catalina_home:/Home/Debian/Apache-Tomcat-10.0.10
Usando catalina_tmpdir:/home/debian/apache-tomcat-10.0.10/Temp
Usando jre_home: /usr
Usando ClassPath:/Home/Debian/Apache-Tomcat-10.0.10/bin/bootstrap.jar:/home/debian/apache-tomcat-10.0.10/bin/tomcat-juli.jarra
Usando Catalina_Opts:
Usando o Security Manager
Tomcat começou.

5 - Remova aplicativos indesejados

Apache Tomcat vem com aplicativos de amostra padrão exploráveis. A melhor medida contra isso é removê -los do seu diretório WebApps.

Você pode remover aplicativos como:

  1. Raiz - a página padrão do tomcat
  2. DOCs - documentação do tomcat
  3. Exemplos - servlets para teste

6 - Modifique o procedimento de desligamento do Tomcat

Outra maneira de proteger o tomcat é alterar o procedimento de desligamento. Fazer isso pode ajudar a impedir que usuários maliciosos desligem os serviços do Tomcat.

O Tomcat pode ser desligado usando a porta 8005 na telnet e enviando o comando de desligamento:

$ Telnet localhost 8005
Tentando 127.0.0.1…
Conectado ao host local.
O personagem de fuga é '^]'.
desligar
Conexão fechada por host estrangeiro.

Para consertar isso, edite o servidor.Arquivo XML e remova o seguinte bloco.

Se você deseja manter vivo o comando de desligamento, altere a porta padrão e comando. Por exemplo:

7 - Adicione bandeiras seguras e httponly

Os atacantes também podem manipular os cookies e sessões dos aplicativos instalados. Para resolver isso, edite a web.Arquivo XML e adicione as seguintes entradas no bloco sessão-config.


verdadeiro
verdadeiro

Conclusão

Este artigo descreveu algumas configurações necessárias para o Apache Tomcat para ajudar a aumentar e aprimorar a segurança. Observe que os métodos discutidos são apenas algumas das muitas medidas que você pode tomar para proteger o tomcat.

Força de vendas
Apex em lote no Salesforce
Tutorial sobre como fazer as operações de DML em massa como inserção, atualização e exclusão com ápi...
Marlon Bernhard
php
Como usar a função strlen em php
A função strlen () no PHP é uma função interna que é usada para calcular o comprimento de uma corda....
Mr. Warren Cummerata
Sqlite
Para que é usado o sqlite para? É melhor do que SQL?
O SQLite é um banco de dados baseado em arquivos que é independente, sem servidor e não requer nenhu...
Joey Bartoletti
Pitão
Pandas explodem várias colunas
Carl Hintz DDS
Pitão
Python encontra o índice de todas as ocorrências em uma lista
Salvatore Watsica
Windows OS
Qual é a diferença entre o Windows Top 10 Home e Pro
Evan Mueller
Ubuntu
Como instalar o CUDA no Ubuntu Top 10.Top 10 LTS
Shaun Bogan
JavaScript
Como usar o método getElementsByTagName em JavaScript
Ed Treutel IV
Docker
Quais são as etapas para executar o nginx em um recipiente do Docker no Ubuntu Top 10.Top 10?
Jackie Blanda
Banco de dados Oracle
Como encontrar o nome do serviço Oracle?
Benny Hilll DDS
AWS
Como usar o gerente de sessão do AWS Systems Manager?
Ed Treutel IV
Powershell
Quais são as etapas para lançar o Windows PowerShell
Salvatore Watsica
Banco de dados Oracle
Como cache a sequência Oracle para melhorar os recursos do dicionário de dados?
Shaun Bogan