Cómo seguridad endurecer Apache Tomcat

Mariana Cotto
Cómo seguridad endurecer Apache Tomcat
Apache Tomcat es un servidor de aplicaciones Java gratuito y de código abierto que viene lleno de una funcionalidad increíble. Aunque la seguridad de Apache Tomcat ha mejorado significativamente a lo largo de los años, eso no significa que no sea explotable.

En esta guía, discutiremos varias formas de asegurar su servidor Apache Tomcat. Los métodos discutidos en esta guía son los más adecuados para la producción, ya que puede requerirlos o no durante el desarrollo.

1 - Suprimir la información del servidor

Una forma simple de aumentar la seguridad del servidor Apache Tomcat es eliminar el banner del servidor de la respuesta HTTP. Si se expone, el indicador podría filtrar la versión de Tomcat que está utilizando, lo que facilita la recopilación de información sobre el servidor y las exploits conocidas.

En versiones recientes de Tomcat (Tomcat 8 y superior), el banner del servidor está deshabilitado de forma predeterminada. Sin embargo, si está utilizando una versión anterior de Tomcat, es posible que deba hacerlo manualmente.

Editar el servidor.Archivo XML en el directorio conf de Tomcat Install Directory.

Localice la entrada del puerto del conector y elimine el bloque del servidor.

Antes:

ConnectionTimeOut = "20000"
servidor = ""
redirectPort = "8443" />

Después:

ConnectionTimeOut = "20000"
redirectPort = "8443" />

Guarde el archivo y reinicie el servicio Apache Tomcat.

2 - Habilitar SSL/TLS

SSL le permite servir datos entre el servidor y el cliente sobre el protocolo HTTPS. Para usar SSL en Tomcat, mejorando así la seguridad, editar el servidor.Directiva de archivo XML y sslenabled en el puerto de conector como:

ConnectionTimeOut = "20000"
Sslenabled = "true" scheme = "https" keystoreFile = "conf/key.JKS "KeyStorePass =" Password "ClientAuth =" False "SSLProTocol =" TLS "
redirectPort = "8443" />

La entrada anterior supone que tiene un almacén de claves con un certificado SSL.

3 - No ejecute Tomcat como root

Nunca ejecute Tomcat como un usuario privilegiado. Esto le permite proteger el sistema en caso de un servicio Tomcat comprometido.

Cree un usuario para ejecutar el servicio Tomcat.

sudo useradd -m -u -d /home /tomcat -s $ (que falso) Tomcat

Finalmente, cambie la propiedad al usuario de Tomcat creado.

Chown -r Tomcat: Tomcat /Home /Tomcat

4 - Use el gerente de seguridad

Es bueno ejecutar el servidor Apache Tomcat usando el Administrador de seguridad. Esto evita que los applets no confiables se ejecuten en el navegador.

./puesta en marcha.SH -SECURSIÓN

A continuación se muestra una salida de ejemplo:

Para hacer esto, use el script de Catalina con la bandera de seguridad.
Usando Catalina_Base:/Home/Debian/Apache-Tomcat-10.0.10
Usando Catalina_Home:/Home/Debian/Apache-Tomcat-10.0.10
Usando catalina_tmpdir:/home/debian/apache-tomcat-10.0.10/temperatura
Usando jre_home: /usr
Uso de classpath:/home/debian/apache-tomcat-10.0.10/bin/bootstrap.jar:/home/debian/apache-tomcat-10.0.10/bin/tomcat-juli.frasco
Usando Catalina_opts:
Uso de Security Manager
Tomcat comenzó.

5 - Eliminar aplicaciones no deseadas

Apache Tomcat viene con aplicaciones de muestra predeterminadas explotables. La mejor medida en que esto es eliminarlos de su directorio de la aplicación web.

Puede eliminar aplicaciones como:

  1. Root: la página predeterminada de Tomcat
  2. Docios - Documentación de Tomcat
  3. Ejemplos: servlets para pruebas

6 - Modificar el procedimiento de cierre de Tomcat

Otra forma de asegurar Tomcat es cambiar el procedimiento de apagado. Hacer esto puede ayudar a evitar que los usuarios maliciosos cierren los servicios de Tomcat.

Tomcat se puede cerrar usando el puerto 8005 en Telnet y enviando el comando de cierre:

$ Telnet localhost 8005
Intentando 127.0.0.1 ..
Conectado a localhost.
El personaje de escape es '^]'.
cerrar
Conexion cerrada por anfitrion desconocido.

Para solucionar esto, edite el servidor.archivo XML y eliminar el siguiente bloque.

Si desea mantener vivo el comando de cierre, cambie el puerto predeterminado y el comando. Por ejemplo:

7 - Agregar banderas seguras y httponly

Los atacantes también pueden manipular las cookies y sesiones de aplicaciones instaladas. Para resolver esto, edite la web.archivo XML y agregar las siguientes entradas en el bloque de config de sesión.


verdadero
verdadero

Conclusión

Este artículo describió algunas configuraciones necesarias que puede hacer a Apache Tomcat para ayudar a aumentar y mejorar la seguridad. Tenga en cuenta que los métodos discutidos son solo algunas de las muchas medidas que puede tomar para asegurar Tomcat.

Git
Comando Git-Stash en Git | Explicado
El comando git stash se usa para guardar temporalmente los cambios no comprometidos que los usuarios...
Jacobo Piña
Programación C
Cómo usar la palabra clave de registro en c
En C, la palabra clave de registro dirige al compilador para determinar que una variable específica ...
Carolina Guzmán
Debian
Instale el motor Docker en Debian
Hay dos formas de instalar Docker Engine en Debian One es instalando Snapd y otra es utilizando el c...
Pilar Alemán
Pitón
Pandas read_csv multiprocesamiento
Pilar Melgar
Oracle Linux
¿Cuál es la diferencia entre Oracle Virtualbox y VMware??
Beatriz Enríquez
Java
Cómo usar Java One Line si la declaración?
Lorenzo Morales
Estibador
¿Cómo puedo instalar Docker a través de Ubuntu Terminal??
Jacobo Piña
Base de datos Oracle
Cómo almacenar en caché de la secuencia de Oracle para mejorar los recursos de diccionario de datos?
Mayte Mesa
php
Cómo usar la función php str_split
Lorenzo Canales
golang
Cómo recortar una cadena en Golang
Jacobo Piña
c agudo
¿Qué son las secuencias de escape en C#?
Pilar Melgar
c agudo
¿Cuál es la diferencia entre clase y objeto en C#?
Beatriz Enríquez
Ubuntu
Cómo tomar capturas de pantalla del shell de inicio de sesión de Ubuntu/Debian Server
Daniela Villaseñor