Come indurire la sicurezza Apache Tomcat

Come indurire la sicurezza Apache Tomcat
Apache Tomcat è un server di applicazioni Java gratuito e open source che viene ricco di incredibili funzionalità fuori dalla scatola. Sebbene la sicurezza di Apache Tomcat sia migliorata significativamente nel corso degli anni, ciò non significa che non sia sfruttabile.

In questa guida, discuteremo di vari modi per proteggere il tuo server Apache Tomcat. I metodi discussi in questa guida sono più adatti alla produzione in quanto è possibile o meno durante lo sviluppo.

1 - Soppredere le informazioni sul server

Un modo semplice per aumentare la sicurezza del server Apache Tomcat è rimuovere il banner del server dalla risposta HTTP. Se esposto, il flag potrebbe perdere la versione di Tomcat che si sta utilizzando, rendendo più semplice la raccolta di informazioni sul server e gli exploit noti.

Nelle versioni recenti di Tomcat (Tomcat 8 e oltre), il banner del server è disabilitato per impostazione predefinita. Tuttavia, se si utilizza una versione precedente di Tomcat, potrebbe essere necessario farlo manualmente.

Modifica il server.File XML sotto la directory conf della directory di installazione Tomcat.

Individuare la voce della porta del connettore e rimuovere il blocco server.

Prima:

ConnectionTimeout = "20000"
server = ""
rediRectPort = "8443" />

Dopo:

ConnectionTimeout = "20000"
rediRectPort = "8443" />

Salva il file e riavvia il servizio Apache Tomcat.

2 - Abilita SSL/TLS

SSL consente di servire i dati tra il server e il client tramite il protocollo HTTPS. Per utilizzare SSL in Tomcat, migliorando così la sicurezza, modifica il server.File XML e direttiva sslenabled nella porta del connettore come:

ConnectionTimeout = "20000"
SsleNabled = "true" schema = "https" keystorefile = "conf/key.JKS "keyStorePass =" Password "ClienteUT =" FALSE "SSLProtocol =" TLS "
rediRectPort = "8443" />

La voce sopra presuppone che tu abbia un keystore con un certificato SSL.

3 - Non eseguire Tomcat come root

Non eseguire mai Tomcat come utente privilegiato. Ciò consente di proteggere il sistema in caso di un servizio Tomcat compromesso.

Crea un utente per eseguire il servizio Tomcat.

sudo useradd -m -u -d /home /tomcat -s $ (quale falso) tomcat

Infine, modifica la proprietà in utente Tomcat creato.

CHOWN -R Tomcat: Tomcat /Home /Tomcat

4 - Usa il responsabile della sicurezza

È bene eseguire il server Apache Tomcat utilizzando il gestore di sicurezza. Ciò impedisce l'esecuzione di applet non attendibili nel browser.

./avviare.Sh -Security

Di seguito è riportato un output di esempio:

Per fare ciò, usa lo script Catalina con il flag -Security.
Utilizzando Catalina_Base:/Home/Debian/Apache-Tomcat-10.0.10
Utilizzando Catalina_Home:/Home/Debian/Apache-Tomcat-10.0.10
Utilizzando Catalina_Tmpdir:/Home/Debian/Apache-Tomcat-10.0.10/temp
Usando jre_home: /usr
Utilizzando ClassPath:/Home/Debian/Apache-Tomcat-10.0.10/bin/bootstrap.Jar:/Home/Debian/Apache-Tomcat-10.0.10/bin/tomcat-juli.vaso
Usando Catalina_Opts:
Utilizzo di Security Manager
Tomcat ha iniziato.

5 - Rimuovere le applicazioni indesiderate

Apache Tomcat viene fornito con applicazioni di esempio sfruttabili. La migliore misura contro questo è rimuoverli dalla directory WebApps.

È possibile rimuovere applicazioni come:

  1. Radice: la pagina predefinita Tomcat
  2. Documenti - Documentazione Tomcat
  3. Esempi - Servlet per il test

6 - Modifica la procedura di spegnimento di Tomcat

Un altro modo per proteggere Tomcat è modificare la procedura di arresto. In questo modo può aiutare a impedire agli utenti dannosi di spegnere i servizi di Tomcat.

Tomcat può essere chiuso utilizzando la porta 8005 su Telnet e inviando il comando di spegnimento:

$ telnet localhost 8005
Provando 127.0.0.1 ..
Collegato a localhost.
Il personaggio di fuga è '^]'.
fermare
Connessione chiusa da host straniero.

Per risolvere questo problema, modifica il server.File XML e rimuovere il seguente blocco.

Se si desidera mantenere in vita il comando di spegnimento, modifica la porta e il comando predefiniti. Per esempio:

7 - Aggiungi flag Secure & Httponly

Gli aggressori possono anche manipolare i cookie e le sessioni di applicazioni installate. Per risolverlo, modifica il Web.File XML e aggiungi le seguenti voci nel blocco sessione-config.


VERO
VERO

Conclusione

Questo articolo ha delineato alcune configurazioni necessarie che puoi fare ad Apache Tomcat per aiutare ad aumentare e migliorare la sicurezza. Si prega di notare che i metodi discussi sono solo alcune delle molte misure che puoi adottare per proteggere Tomcat.