Cómo seguridad endurecer Apache Tomcat

Cómo seguridad endurecer Apache Tomcat
Apache Tomcat es un servidor de aplicaciones Java gratuito y de código abierto que viene lleno de una funcionalidad increíble. Aunque la seguridad de Apache Tomcat ha mejorado significativamente a lo largo de los años, eso no significa que no sea explotable.

En esta guía, discutiremos varias formas de asegurar su servidor Apache Tomcat. Los métodos discutidos en esta guía son los más adecuados para la producción, ya que puede requerirlos o no durante el desarrollo.

1 - Suprimir la información del servidor

Una forma simple de aumentar la seguridad del servidor Apache Tomcat es eliminar el banner del servidor de la respuesta HTTP. Si se expone, el indicador podría filtrar la versión de Tomcat que está utilizando, lo que facilita la recopilación de información sobre el servidor y las exploits conocidas.

En versiones recientes de Tomcat (Tomcat 8 y superior), el banner del servidor está deshabilitado de forma predeterminada. Sin embargo, si está utilizando una versión anterior de Tomcat, es posible que deba hacerlo manualmente.

Editar el servidor.Archivo XML en el directorio conf de Tomcat Install Directory.

Localice la entrada del puerto del conector y elimine el bloque del servidor.

Antes:

ConnectionTimeOut = "20000"
servidor = ""
redirectPort = "8443" />

Después:

ConnectionTimeOut = "20000"
redirectPort = "8443" />

Guarde el archivo y reinicie el servicio Apache Tomcat.

2 - Habilitar SSL/TLS

SSL le permite servir datos entre el servidor y el cliente sobre el protocolo HTTPS. Para usar SSL en Tomcat, mejorando así la seguridad, editar el servidor.Directiva de archivo XML y sslenabled en el puerto de conector como:

ConnectionTimeOut = "20000"
Sslenabled = "true" scheme = "https" keystoreFile = "conf/key.JKS "KeyStorePass =" Password "ClientAuth =" False "SSLProTocol =" TLS "
redirectPort = "8443" />

La entrada anterior supone que tiene un almacén de claves con un certificado SSL.

3 - No ejecute Tomcat como root

Nunca ejecute Tomcat como un usuario privilegiado. Esto le permite proteger el sistema en caso de un servicio Tomcat comprometido.

Cree un usuario para ejecutar el servicio Tomcat.

sudo useradd -m -u -d /home /tomcat -s $ (que falso) Tomcat

Finalmente, cambie la propiedad al usuario de Tomcat creado.

Chown -r Tomcat: Tomcat /Home /Tomcat

4 - Use el gerente de seguridad

Es bueno ejecutar el servidor Apache Tomcat usando el Administrador de seguridad. Esto evita que los applets no confiables se ejecuten en el navegador.

./puesta en marcha.SH -SECURSIÓN

A continuación se muestra una salida de ejemplo:

Para hacer esto, use el script de Catalina con la bandera de seguridad.
Usando Catalina_Base:/Home/Debian/Apache-Tomcat-10.0.10
Usando Catalina_Home:/Home/Debian/Apache-Tomcat-10.0.10
Usando catalina_tmpdir:/home/debian/apache-tomcat-10.0.10/temperatura
Usando jre_home: /usr
Uso de classpath:/home/debian/apache-tomcat-10.0.10/bin/bootstrap.jar:/home/debian/apache-tomcat-10.0.10/bin/tomcat-juli.frasco
Usando Catalina_opts:
Uso de Security Manager
Tomcat comenzó.

5 - Eliminar aplicaciones no deseadas

Apache Tomcat viene con aplicaciones de muestra predeterminadas explotables. La mejor medida en que esto es eliminarlos de su directorio de la aplicación web.

Puede eliminar aplicaciones como:

  1. Root: la página predeterminada de Tomcat
  2. Docios - Documentación de Tomcat
  3. Ejemplos: servlets para pruebas

6 - Modificar el procedimiento de cierre de Tomcat

Otra forma de asegurar Tomcat es cambiar el procedimiento de apagado. Hacer esto puede ayudar a evitar que los usuarios maliciosos cierren los servicios de Tomcat.

Tomcat se puede cerrar usando el puerto 8005 en Telnet y enviando el comando de cierre:

$ Telnet localhost 8005
Intentando 127.0.0.1 ..
Conectado a localhost.
El personaje de escape es '^]'.
cerrar
Conexion cerrada por anfitrion desconocido.

Para solucionar esto, edite el servidor.archivo XML y eliminar el siguiente bloque.

Si desea mantener vivo el comando de cierre, cambie el puerto predeterminado y el comando. Por ejemplo:

7 - Agregar banderas seguras y httponly

Los atacantes también pueden manipular las cookies y sesiones de aplicaciones instaladas. Para resolver esto, edite la web.archivo XML y agregar las siguientes entradas en el bloque de config de sesión.


verdadero
verdadero

Conclusión

Este artículo describió algunas configuraciones necesarias que puede hacer a Apache Tomcat para ayudar a aumentar y mejorar la seguridad. Tenga en cuenta que los métodos discutidos son solo algunas de las muchas medidas que puede tomar para asegurar Tomcat.