Jak zabezpieczyć harten apache tomcat
W tym przewodniku omówimy różne sposoby zabezpieczenia Twojego serwera Apache Tomcat. Metody omówione w tym przewodniku najlepiej nadają się do produkcji, ponieważ możesz, ale nie musi, wymagać ich podczas rozwoju.
1 - tłumił informacje o serwerze
Prostym sposobem na zwiększenie bezpieczeństwa serwera Apache Tomcat jest usunięcie baneru serwera z odpowiedzi HTTP. Jeśli zostanie ujawniony, flaga może wyciekać wersję Tomcat, której łatwiej jest zbierać informacje o serwerze i znane exploits.
W ostatnich wersjach Tomcat (Tomcat 8 i nowszy) baner serwera jest domyślnie wyłączony. Jeśli jednak używasz starszej wersji Tomcat, może być konieczne wykonanie tego ręcznie.
Edytuj serwer.plik XML w katalogu CONF katalogu instalacji Tomcat.
Znajdź wpis portu złącza i usuń blok serwerowy.
Zanim:
ConnectionTimeout = "20000"
server = ""
Redirectport = "8443" />
Po:
ConnectionTimeout = "20000"
Redirectport = "8443" />
Zapisz plik i uruchom ponownie usługę Apache Tomcat.
2 - Włącz SSL/TLS
SSL umożliwia obsługę danych między serwerem a klientem przez protokół HTTPS. Aby użyć SSL w Tomcat, tym samym zwiększając bezpieczeństwo, edytuj serwer.Plik XML i dyrektywa SSLEnabled w porcie złącza jako:
ConnectionTimeout = "20000"
SsLenabled = "true" scheme = "https" keystoreFile = "conf/key.JKS "keystorePass =" hasło "clientAuth =" false "sslprotocol =" tls "
Redirectport = "8443" />
Powyższy wpis zakłada, że masz klub z certyfikatem SSL.
3 - Nie biegaj tomcat jako root
Nigdy nie uruchom Tomcat jako uprzywilejowanego użytkownika. Pozwala to chronić system w przypadku naruszenia usługi Tomcat.
Utwórz użytkownika, aby uruchomić usługę Tomcat.
sudo useradd -m -u -d /home /tomcat -s $ (który false) tomcat
Na koniec zmień własność na utworzonego użytkownika Tomcat.
Chown -r Tomcat: tomcat /home /tomcat
4 - Skorzystaj z menedżera bezpieczeństwa
Dobrze jest uruchomić serwer Apache Tomcat za pomocą menedżera bezpieczeństwa. Zapobiega to działaniu niezaufanych apletów w przeglądarce.
./uruchomienie.SH -Security
Poniżej znajduje się przykład wyjścia:
Aby to zrobić, użyj skryptu Catalina z flagą bezpieczeństwa.
Korzystanie z Catalina_Base:/Home/Debian/Apache-Tomcat-10.0.10
Korzystanie z Catalina_Home:/Home/Debian/Apache-Tomcat-10.0.10
Korzystanie z Catalina_tmpdir:/home/debian/apache-tomcat-10.0.10/Temp
Używając JRE_HOME: /USR
Korzystanie z ClassPath:/Home/Debian/Apache-Tomcat-10.0.10/Bin/bootstrap.słoik:/home/debian/apache-tomcat-10.0.10/bin/tomcat-juli.słoik
Za pomocą Catalina_Opts:
Korzystanie z Menedżera bezpieczeństwa
Tomcat zaczął.
5 - Usuń niechciane aplikacje
Apache Tomcat jest wyposażony w eksploatowalne domyślne przykładowe aplikacje. Najlepszą miarą jest usunięcie ich z katalogu WebApps.
Możesz usunąć aplikacje, takie jak:
- Root - strona domyślna Tomcat
- Dokumenty - dokumentacja Tomcat
- Przykłady - serwlety do testowania
6 - Zmodyfikuj procedurę wyłączania Tomcata
Innym sposobem zabezpieczenia Tomcat jest zmiana procedury wyłączania. Może to pomóc uniemożliwić złośliwym użytkownikom wyłączenie usług Tomcat.
Tomcat można wyłączyć za pomocą Port 8005 w Telnet i wysyłając polecenie STLACKDOWN:
$ Telnet LocalHost 8005
Próbuję 127.0.0.1…
Połączone z Localhost.
Charakter ucieczki to „^]”.
zamknięcie
Połączenie zostało zamknięte przez zdalnego hosta.
Aby to naprawić, edytuj serwer.plik XML i usuń następujący blok.
Jeśli chcesz zachować przy życiu polecenie, zmień domyślny port i polecenie. Na przykład:
7 - Dodaj bezpieczne i httponly flagi
Atakujący mogą również manipulować plikami i sesjami zainstalowanych aplikacji. Aby to rozwiązać, edytuj Internet.plik xml i dodaj następujące wpisy w bloku sesji konfig.
PRAWDA PRAWDA
Wniosek
W tym artykule przedstawiono niektóre niezbędne konfiguracje, które możesz zrobić dla Apache Tomcat, aby zwiększyć i zwiększyć bezpieczeństwo. Należy pamiętać, że omówione metody to tylko kilka z wielu środków, które możesz podjąć, aby zabezpieczyć Tomcat.